• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Lavorare con le risorse di Patch Manager utilizzando AWS CLI
La sezione include esempi di comandi AWS Command Line Interface (AWS CLI) che è possibile utilizzare per eseguire attività di configurazione perPatch Manager, uno strumento in AWS Systems Manager.
Per un'illustrazione dell'utilizzo di patch AWS CLI per applicare patch a un ambiente server utilizzando una linea di base di patch personalizzata, vedere. Tutorial: applicare una patch a un ambiente server utilizzando il AWS CLI
Per ulteriori informazioni sull'utilizzo di AWS CLI for AWS Systems Manager tasks, consulta la AWS Systems Manager sezione del AWS CLI Command Reference.
Argomenti
AWS CLI comandi per le linee di base delle patch
Comandi di esempio per le baseline delle patch
Creazione di una baseline delle patch
Il seguente comando crea una baseline delle patch che approva tutti gli aggiornamenti correlati alla sicurezza critici o importanti per Windows Server 2012 R2 5 giorni dopo il rilascio. Sono state specificate anche le patch per gli elenchi approvati e rifiutati. Inoltre, la baseline delle patch è stata contrassegnata per indicare che è destinata a un ambiente di produzione.
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Creazione di una baseline delle patch con repository personalizzati per varie versioni dei sistemi operativi
Applicabile solo per i nodi gestiti Linux. Il seguente comando mostra come specificare i repository delle patch da utilizzare per una determinata versione del sistema operativo Amazon Linux. In questo esempio viene utilizzato un repository di origine abilitato per impostazione predefinita in Amazon Linux 2017.09, ma potrebbe essere adattato per un altro repository di fonte configurato per un nodo gestito.
Nota
Per illustrare meglio questo comando più complesso, utilizziamo l'opzione --cli-input-json con opzioni aggiuntive archiviate in un file JSON esterno.
-
Creare un file JSON con un nome simile a
my-patch-repository.jsone aggiungervi il seguente contenuto.{ "Description": "My patch repository for Amazon Linux 2", "Name": "Amazon-Linux-2", "OperatingSystem": "AMAZON_LINUX_2", "ApprovalRules": { "PatchRules": [ { "ApproveAfterDays": 7, "EnableNonSecurity": true, "PatchFilterGroup": { "PatchFilters": [ { "Key": "SEVERITY", "Values": [ "Important", "Critical" ] }, { "Key": "CLASSIFICATION", "Values": [ "Security", "Bugfix" ] }, { "Key": "PRODUCT", "Values": [ "AmazonLinux2" ] } ] } } ] }, "Sources": [ { "Name": "My-AL2", "Products": [ "AmazonLinux2" ], "Configuration": "[amzn-main] \nname=amzn-main-Base\nmirrorlist=http://repo./$awsregion./$awsdomain//$releasever/main/mirror.list //nmirrorlist_expire=300//nmetadata_expire=300 \npriority=10 \nfailovermethod=priority \nfastestmirror_enabled=0 \ngpgcheck=1 \ngpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-ga \nenabled=1 \nretries=3 \ntimeout=5\nreport_instanceid=yes" } ] } -
Nella directory in cui è stato salvato il file, eseguire il comando seguente:
aws ssm create-patch-baseline --cli-input-json file://my-patch-repository.jsonIl sistema restituisce informazioni simili alle seguenti.
{ "BaselineId": "pb-0c10e65780EXAMPLE" }
Aggiornamento di una baseline delle patch
Il seguente comando aggiunge due patch come rifiutate e una come approvata a una baseline delle patch esistente.
Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012R2", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1481001494.035, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Assegnazione di un nuovo nome a una baseline delle patch
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012-R2-Important-and-Critical-Security-Updates", "RejectedPatches":[ "KB2032276", "MS10-048" ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1481001795.287, "CreatedDate":1480997823.81, "ApprovedPatches":[ "KB2124261" ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Eliminazione di una baseline delle patch
aws ssm delete-patch-baseline --baseline-id "pb-0c10e65780EXAMPLE"
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Elenco di tutte le baseline delle patch
aws ssm describe-patch-baselines
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Di seguito è mostrato un altro comando che elenca tutte le baseline delle patch in una Regione AWS.
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" }, { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Elenca tutte le linee di base delle AWS patch fornite
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":true, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" } ] }
Elenco di tutte le baseline delle patch personali
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineIdentities":[ { "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":false, "BaselineDescription":"Windows Server 2012 R2, Important and Critical security updates", "BaselineId":"pb-0c10e65780EXAMPLE" } ] }
Visualizzazione di una baseline delle patch
aws ssm get-patch-baseline --baseline-id pb-0c10e65780EXAMPLE
Nota
Per le baseline delle patch personalizzate, è possibile specificare l'ID della baseline delle patch o l'Amazon Resource Name (ARN) completo. Per una linea AWS di base di patch fornita, è necessario specificare l'ARN completo. Ad esempio, arn:aws:ssm:us-east-2:075727635805:patchbaseline/pb-0c10e65780EXAMPLE.
Il sistema restituisce informazioni simili alle seguenti.
{ "BaselineId":"pb-0c10e65780EXAMPLE", "Name":"Windows-Server-2012R2", "PatchGroups":[ "Web Servers" ], "RejectedPatches":[ ], "GlobalFilters":{ "PatchFilters":[ ] }, "ApprovalRules":{ "PatchRules":[ { "PatchFilterGroup":{ "PatchFilters":[ { "Values":[ "Important", "Critical" ], "Key":"MSRC_SEVERITY" }, { "Values":[ "SecurityUpdates" ], "Key":"CLASSIFICATION" }, { "Values":[ "WindowsServer2012R2" ], "Key":"PRODUCT" } ] }, "ApproveAfterDays":5 } ] }, "ModifiedDate":1480997823.81, "CreatedDate":1480997823.81, "ApprovedPatches":[ ], "Description":"Windows Server 2012 R2, Important and Critical security updates" }
Ottenimento della baseline delle patch predefinita
aws ssm get-default-patch-baseline --region us-east-2
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Impostare una linea di baseline delle patch personalizzata come impostazione predefinita
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Reimposta la linea di base di una AWS patch come predefinita
Il sistema restituisce informazioni simili alle seguenti.
{
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Tag di una baseline delle patch
Elenca i tag di una baseline delle patch.
Rimozione di un tag da una baseline delle patch
AWS CLI comandi per gruppi di patch
Comandi di esempio per gruppi di patch
Creazione di un gruppo di patch
Nota
I gruppi di patch non vengono utilizzati nelle operazioni di applicazione di patch basate su policy di patch. Per informazioni sull'utilizzo delle policy di patch, consulta Configurazioni delle policy di patch in Quick Setup.
Per organizzare i tentativi di applicazione di patch, consigliamo di aggiungere nodi gestiti ai gruppi di patch utilizzando i tag, I gruppi di patch richiedono l'utilizzo della chiave di tag Patch Group o PatchGroup. Se sono presenti tag consentiti nei metadati dell'istanza EC2, è necessario utilizzare PatchGroup (senza spazio). È possibile specificare un valore tag qualsiasi, ma la chiave di tag deve essere Patch Group o PatchGroup. Per ulteriori informazioni sui gruppi di patch, consulta Gruppi di patch.
Dopo aver raggruppato i nodi gestiti utilizzando i tag, aggiungere il valore del gruppo di patch a una baseline delle patch. Registrando il gruppo di patch con una baseline delle patch, ci si assicura che vengano installate le patch corrette durante l'operazione di applicazione di patch.
Attività 1: aggiunta di istanze EC2 a un gruppo di patch mediante tag
Nota
Quando si utilizza la console Amazon Elastic Compute Cloud (Amazon EC2) AWS CLI e, è possibile Key = Patch Group applicare Key = PatchGroup o tag a istanze che non sono ancora configurate per l'uso con Systems Manager. Se un'istanza EC2 che ti aspetti di vedere in Patch Manager non è elencata dopo aver applicato il tag Patch Group o Key = PatchGroup, consultare Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti per suggerimenti per la risoluzione dei problemi.
Eseguire il seguente comando per aggiungere il tag PatchGroup a un'istanza EC2.
aws ec2 create-tags --resources"i-1234567890abcdef0"--tags "Key=PatchGroup,Value=GroupValue"
Attività 2: aggiunta di nodi gestiti a un gruppo di patch mediante i tag
Eseguire il comando seguente per aggiungere il tag PatchGroup a un nodo gestito.
Attività 3: aggiunta di un gruppo di patch a una baseline delle patch
Eseguire il comando seguente per associare il valore di tag PatchGroup alla baseline delle patch specificata.
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup": "Development",
"BaselineId": "pb-0c10e65780EXAMPLE"
}
Registrazione del gruppo di patch "server web" con una baseline delle patch
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup":"Web Servers",
"BaselineId":"pb-0c10e65780EXAMPLE"
}
Registra un gruppo di patch «Backend» con la patch di base fornita AWS
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup":"Backend",
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
Visualizzazione delle registrazioni dei gruppi di patch
aws ssm describe-patch-groups --region us-east-2
Il sistema restituisce informazioni simili alle seguenti.
{ "PatchGroupPatchBaselineMappings":[ { "PatchGroup":"Backend", "BaselineIdentity":{ "BaselineName":"AWS-DefaultPatchBaseline", "DefaultBaseline":false, "BaselineDescription":"Default Patch Baseline Provided by AWS.", "BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE" } }, { "PatchGroup":"Web Servers", "BaselineIdentity":{ "BaselineName":"Windows-Server-2012R2", "DefaultBaseline":true, "BaselineDescription":"Windows Server 2012 R2, Important and Critical updates", "BaselineId":"pb-0c10e65780EXAMPLE" } } ] }
Annullamento della registrazione di un gruppo di patch da una baseline delle patch
Il sistema restituisce informazioni simili alle seguenti.
{
"PatchGroup":"Production",
"BaselineId":"arn:aws:ssm:us-east-2:111122223333:patchbaseline/pb-0c10e65780EXAMPLE"
}
AWS CLI comandi per visualizzare i riepiloghi e i dettagli delle patch
Comandi di esempio per la visualizzazione di riepiloghi e dettagli patch
Ottenimento di tutte le patch definite da una baseline delle patch
Ottieni tutte le patch per Windows Server 2012 che presentano una gravità MSRC pari a Critical
Ottenimento dello stati di riepilogo delle patch per nodo gestito
Ottenimento dei dettagli di conformità delle patch per un nodo gestito
Visualizzare i risultati della conformità delle patch (AWS CLI)
Ottenimento di tutte le patch definite da una baseline delle patch
Nota
Questo comando è supportato solo per le baseline delle patch Windows Server.
Il sistema restituisce informazioni simili alle seguenti.
{ "NextToken":"--token string truncated--", "EffectivePatches":[ { "PatchStatus":{ "ApprovalDate":1384711200.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2876331", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"A security issue has been identified in a Microsoft software product that could affect your system. You can help protect your system by installing this update from Microsoft. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 R2 Preview (KB2876331)", "ReleaseDate":1384279200.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2876331", "MsrcNumber":"MS13-089", "Id":"e74ccc76-85f0-4881-a738-59e9fc9a336d" } }, { "PatchStatus":{ "ApprovalDate":1428858000.0, "DeploymentStatus":"APPROVED" }, "Patch":{ "ContentUrl":"https://support.microsoft.com/en-us/kb/2919355", "ProductFamily":"Windows", "Product":"WindowsServer2012R2", "Vendor":"Microsoft", "Description":"Windows Server 2012 R2 Update is a cumulative set of security updates, critical updates and updates. You must install Windows Server 2012 R2 Update to ensure that your computer can continue to receive future Windows Updates, including security updates. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article for more information. After you install this item, you may have to restart your computer.", "Classification":"SecurityUpdates", "Title":"Windows Server 2012 R2 Update (KB2919355)", "ReleaseDate":1428426000.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2919355", "MsrcNumber":"MS14-018", "Id":"8452bac0-bf53-4fbd-915d-499de08c338b" } } ---output truncated---
Ottieni tutte le patch per la versione AmazonLinux 2018.03 che hanno una classificazione e una gravità di SECURITY Critical
Il sistema restituisce informazioni simili alle seguenti.
{ "Patches": [ { "AdvisoryIds": ["ALAS-2011-1"], "BugzillaIds": [ "1234567" ], "Classification": "SECURITY", "CVEIds": [ "CVE-2011-3192"], "Name": "zziplib", "Epoch": "0", "Version": "2.71", "Release": "1.3.amzn1", "Arch": "i686", "Product": "AmazonLinux2018.03", "ReleaseDate": 1590519815, "Severity": "CRITICAL" } ] } ---output truncated---
Ottieni tutte le patch per Windows Server 2012 che presentano una gravità MSRC pari a Critical
Il sistema restituisce informazioni simili alle seguenti.
{ "Patches":[ { "ContentUrl":"https://support.microsoft.com/en-us/kb/2727528", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Windows Server 2012 (KB2727528)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2727528", "MsrcNumber":"MS12-072", "Id":"1eb507be-2040-4eeb-803d-abc55700b715" }, { "ContentUrl":"https://support.microsoft.com/en-us/kb/2729462", "ProductFamily":"Windows", "Product":"WindowsServer2012", "Vendor":"Microsoft", "Description":"A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.", "Classification":"SecurityUpdates", "Title":"Security Update for Microsoft .NET Framework 3.5 on Windows 8 and Windows Server 2012 for x64-based Systems (KB2729462)", "ReleaseDate":1352829600.0, "MsrcClassification":"Critical", "Language":"All", "KbNumber":"KB2729462", "MsrcNumber":"MS12-074", "Id":"af873760-c97c-4088-ab7e-5219e120eab4" } ---output truncated---
Ottenimento di tutte le patch disponibili
aws ssm describe-available-patches --region us-east-2
Il sistema restituisce informazioni simili alle seguenti.
{ "NextToken":"--token string truncated--", "Patches":[ { "Classification": "SecurityUpdates", "ContentUrl": "https://support.microsoft.com/en-us/kb/4074588", "Description": "A security issue has been identified in a Microsoft software product that could affect your system. You can help protect your system by installing this update from Microsoft. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article. After you install this update, you may have to restart your system.", "Id": "11adea10-0701-430e-954f-9471595ae246", "KbNumber": "KB4074588", "Language": "All", "MsrcNumber": "", "MsrcSeverity": "Critical", "Product": "WindowsServer2016", "ProductFamily": "Windows", "ReleaseDate": 1518548400, "Title": "2018-02 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4074588)", "Vendor": "Microsoft" }, { "Classification": "SecurityUpdates", "ContentUrl": "https://support.microsoft.com/en-us/kb/4074590", "Description": "A security issue has been identified in a Microsoft software product that could affect your system. You can help protect your system by installing this update from Microsoft. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article. After you install this update, you may have to restart your system.", "Id": "f5f58231-ac5d-4640-ab1b-9dc8d857c265", "KbNumber": "KB4074590", "Language": "All", "MsrcNumber": "", "MsrcSeverity": "Critical", "Product": "WindowsServer2016", "ProductFamily": "Windows", "ReleaseDate": 1518544805, "Title": "2018-02 Cumulative Update for Windows Server 2016 for x64-based Systems (KB4074590)", "Vendor": "Microsoft" } ---output truncated---
Ottenimento dello stati di riepilogo delle patch per nodo gestito
Il riepilogo per nodo gestito fornisce il numero di patch nei seguenti stati per nodo: "NotApplicable«, «Mancante», «Non riuscito», "" InstalledOther e «Installato».
Il sistema restituisce informazioni simili alle seguenti.
{ "InstancePatchStates":[ { "InstanceId": "i-08ee91c0b17045407", "PatchGroup": "", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "6d03d6c5-f79d-41d0-8d0e-00a9aEXAMPLE", "InstalledCount": 50, "InstalledOtherCount": 353, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 0, "FailedCount": 0, "UnreportedNotApplicableCount": -1, "NotApplicableCount": 671, "OperationStartTime": "2020-01-24T12:37:56-08:00", "OperationEndTime": "2020-01-24T12:37:59-08:00", "Operation": "Scan", "RebootOption": "NoReboot" }, { "InstanceId": "i-09a618aec652973a9", "PatchGroup": "", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "c7e0441b-1eae-411b-8aa7-973e6EXAMPLE", "InstalledCount": 36, "InstalledOtherCount": 396, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 3, "FailedCount": 0, "UnreportedNotApplicableCount": -1, "NotApplicableCount": 420, "OperationStartTime": "2020-01-24T12:37:34-08:00", "OperationEndTime": "2020-01-24T12:37:37-08:00", "Operation": "Scan", "RebootOption": "NoReboot" } ---output truncated---
Ottenimento dei dettagli di conformità delle patch per un nodo gestito
aws ssm describe-instance-patches --instance-id i-08ee91c0b17045407
Il sistema restituisce informazioni simili alle seguenti.
{ "NextToken":"--token string truncated--", "Patches":[ { "Title": "bind-libs.x86_64:32:9.8.2-0.68.rc1.60.amzn1", "KBId": "bind-libs.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:24-07:00" }, { "Title": "bind-utils.x86_64:32:9.8.2-0.68.rc1.60.amzn1", "KBId": "bind-utils.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:32-07:00" }, { "Title": "dhclient.x86_64:12:4.1.1-53.P1.28.amzn1", "KBId": "dhclient.x86_64", "Classification": "Security", "Severity": "Important", "State": "Installed", "InstalledTime": "2019-08-26T11:05:31-07:00" }, ---output truncated---
Visualizzare i risultati della conformità delle patch (AWS CLI)
Per visualizzare i risultati della conformità delle patch per un singolo nodo gestito
Esegui il seguente comando in AWS Command Line Interface (AWS CLI) per visualizzare i risultati di conformità delle patch per un singolo nodo gestito.
aws ssm describe-instance-patch-states --instance-idinstance-id
Sostituisci instance-id con l'ID del nodo gestito di cui desideri visualizzare i risultati, nel formato i-02573cafcfEXAMPLE omi-0282f7c436EXAMPLE.
Questo sistema restituisce informazioni simili alle seguenti.
{ "InstancePatchStates": [ { "InstanceId": "i-02573cafcfEXAMPLE", "PatchGroup": "mypatchgroup", "BaselineId": "pb-0c10e65780EXAMPLE", "SnapshotId": "a3f5ff34-9bc4-4d2c-a665-4d1c1EXAMPLE", "CriticalNonCompliantCount": 2, "SecurityNonCompliantCount": 2, "OtherNonCompliantCount": 1, "InstalledCount": 123, "InstalledOtherCount": 334, "InstalledPendingRebootCount": 0, "InstalledRejectedCount": 0, "MissingCount": 1, "FailedCount": 2, "UnreportedNotApplicableCount": 11, "NotApplicableCount": 2063, "OperationStartTime": "2021-05-03T11:00:56-07:00", "OperationEndTime": "2021-05-03T11:01:09-07:00", "Operation": "Scan", "LastNoRebootInstallOperationTime": "2020-06-14T12:17:41-07:00", "RebootOption": "RebootIfNeeded" } ] }
Per visualizzare un riepilogo del conteggio delle patch per tutte le istanze EC2 in una Regione
describe-instance-patch-states supporta il recupero dei risultati di una sola istanza gestita alla volta. Tuttavia, l'utilizzo di uno script personalizzato con describe-instance-patch-states, è possibile generare un report più granulare.
Ad esempio, se lo Strumento di filtro jqInstalledPendingReboot.
aws ssm describe-instance-patch-states \ --instance-ids $(aws ec2 describe-instances --regionregion| jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \ --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
regionrappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei region valori supportati, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services
Esempio:
aws ssm describe-instance-patch-states \ --instance-ids $(aws ec2 describe-instances --region us-east-2 | jq '.Reservations[].Instances[] | .InstanceId' | tr '\n|"' ' ') \ --output text --query 'InstancePatchStates[*].{Instance:InstanceId, InstalledPendingRebootCount:InstalledPendingRebootCount}'
Il sistema restituisce informazioni simili alle seguenti.
1 i-02573cafcfEXAMPLE 0 i-0471e04240EXAMPLE 3 i-07782c72faEXAMPLE 6 i-083b678d37EXAMPLE 0 i-03a530a2d4EXAMPLE 1 i-01f68df0d0EXAMPLE 0 i-0a39c0f214EXAMPLE 7 i-0903a5101eEXAMPLE 7 i-03823c2fedEXAMPLE
Oltre a InstalledPendingRebootCount, l'elenco dei tipi di conteggio che è possibile cercare include quanto segue:
-
CriticalNonCompliantCount -
SecurityNonCompliantCount -
OtherNonCompliantCount -
UnreportedNotApplicableCount -
InstalledPendingRebootCount -
FailedCount -
NotApplicableCount -
InstalledRejectedCount -
InstalledOtherCount -
MissingCount -
InstalledCount
AWS CLI comandi per la scansione e l'applicazione di patch ai nodi gestiti
Dopo aver eseguito i seguenti comandi per verificare la conformità delle patch o installare le patch, è possibile utilizzare i comandi nella sezione AWS CLI comandi per visualizzare i riepiloghi e i dettagli delle patch per visualizzare informazioni sullo stato della patch e sulla conformità.
Comandi di esempio
Scansione dei nodi gestiti per la conformità alle patch (AWS CLI)
Per eseguire la scansione di nodi gestiti specifici per la conformità delle patch
Eseguire il seguente comando seguente.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "a04ed06c-8545-40f4-87c2-a0babEXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621974475.267, "Parameters": { "Operation": [ "Scan" ] }, "InstanceIds": [], "Targets": [ { "Key": "InstanceIds", "Values": [ "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" ] } ], "RequestedDateTime": 1621952275.267, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Per analizzare i nodi gestiti per verificare la conformità delle patch in base al tag del gruppo
Eseguire il seguente comando seguente.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "87a448ee-8adc-44e0-b4d1-6b429EXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621974983.128, "Parameters": { "Operation": [ "Scan" ] }, "InstanceIds": [], "Targets": [ { "Key": "tag:PatchGroup", "Values": [ "Web servers" ] } ], "RequestedDateTime": 1621952783.128, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Installazione di patch sui nodi gestiti (AWS CLI)
Per installare patch su nodi gestiti specifici
Eseguire il seguente comando seguente.
Nota
I nodi gestiti di destinazione si riavviano in base alle necessità per completare l'installazione della patch. Per ulteriori informazioni, consulta Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaseline.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "5f403234-38c4-439f-a570-93623EXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621975301.791, "Parameters": { "Operation": [ "Install" ] }, "InstanceIds": [], "Targets": [ { "Key": "InstanceIds", "Values": [ "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" ] } ], "RequestedDateTime": 1621953101.791, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
Per installare patch su nodi gestiti in un gruppo di patch specifico
Eseguire il seguente comando seguente.
Il sistema restituisce informazioni simili alle seguenti.
{ "Command": { "CommandId": "fa44b086-7d36-4ad5-ac8d-627ecEXAMPLE", "DocumentName": "AWS-RunPatchBaseline", "DocumentVersion": "$DEFAULT", "Comment": "", "ExpiresAfter": 1621975407.865, "Parameters": { "Operation": [ "Install" ] }, "InstanceIds": [], "Targets": [ { "Key": "tag:PatchGroup", "Values": [ "Web servers" ] } ], "RequestedDateTime": 1621953207.865, "Status": "Pending", "StatusDetails": "Pending", "TimeoutSeconds": 600, ---output truncated--- } }
