• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 使用 Patch Manager 修复不合规的托管式节点
本节中的主题概述了如何标识不符合补丁合规性要求的托管式节点以及如何使节点合规。
**Topics**
+ [
# 标识不合规的托管式节点
](patch-manager-find-noncompliant-nodes.md)
+ [
# 补丁合规性状态值
](patch-manager-compliance-states.md)
+ [
# 修补不合规的托管式节点
](patch-manager-compliance-remediation.md)
# 标识不合规的托管式节点
当运行两个 AWS Systems Manager 文档(SSM 文档)中的其中一个文档时,会标识不合规的托管式节点。这些 SSM 文档引用了Patch Manager(AWS Systems Manager 中的一项工具)中每个托管式节点相应的补丁基准。然后,这些文档会评估托管式节点的补丁状态,并向您提供合规性结果。
有两个 SSM 文档用于标识或更新不合规的托管式节点:`AWS-RunPatchBaseline` 和 `AWS-RunPatchBaselineAssociation`。每个文档的使用流程不同,其合规性结果通过不同的渠道提供。下表概述了这些文档之间的差异。
**注意**
来自 Patch Manager 的补丁合规性数据可以发送到 AWS Security Hub CSPM。Security Hub CSPM 能让您全面了解高优先级安全警报和合规性状态。它还监控您的实例集的修补状态。有关更多信息,请参阅 [将 Patch Manager 与 AWS Security Hub CSPM 集成](patch-manager-security-hub-integration.md)。
| | `AWS-RunPatchBaseline` | `AWS-RunPatchBaselineAssociation` |
| --- | --- | --- |
| 使用文档的过程 | **按需修补** – 您可以使用 **Patch now**(立即修补)选项按需扫描或修补托管式节点。有关信息,请参阅[按需修补托管式节点](patch-manager-patch-now-on-demand.md)。 **Systems Manager Quick Setup补丁策略**:您可以在Quick Setup(AWS Systems Manager 中的一项工具)中创建修补配置,可针对整个组织、部分组织单位或单个 AWS 账户按不同的计划扫描或安装缺失的补丁。有关信息,请参阅[使用 Quick Setup 补丁策略为组织中的实例配置修补](quick-setup-patch-manager.md)。 **运行命令**:在 Run Command(AWS Systems Manager 中的一项工具)的操作中,您可以手动运行 `AWS-RunPatchBaseline`。有关信息,请参阅[从控制台运行命令](running-commands-console.md)。 **维护时段** – 在 Run Command 任务类型中,您可以使用 SSM 文档 `AWS-RunPatchBaseline` 创建维护时段。有关信息,请参阅[教程:使用控制台创建修补的维护时段](maintenance-window-tutorial-patching.md)。 | **Systems Manager Quick Setup 主机管理**:您可以在 Quick Setup 中启用主机管理配置选项,每天扫描您的托管实例的补丁合规性。有关信息,请参阅[使用 Quick Setup 设置 Amazon EC2 主机管理](quick-setup-host-management.md)。 **Systems Manager [Explorer](Explorer.md)**:只要允许 Explorer(AWS Systems Manager 中的一项工具),该工具就会定期扫描托管式实例来了解补丁合规性,并会在 Explorer 控制面板中报告结果。 |
| 补丁扫描结果数据的格式 | 在 `AWS-RunPatchBaseline` 运行后,Patch Manager会将 `AWS:PatchSummary` 对象发送至 Inventory(AWS Systems Manager 中的一项工具)。此报告仅在成功完成修补操作后生成,并且包含用于标识合规性状态计算时间的捕获时间。 | 在 `AWS-RunPatchBaselineAssociation` 运行后,Patch Manager 发送 `AWS:ComplianceItem` 对象至 Systems Manager 库存。 |
| 在控制台中查看补丁合规性报告 | 您可以查看使用 [Systems Manager 配置合规性](systems-manager-compliance.md)中的 `AWS-RunPatchBaseline` 和 [使用托管式节点](fleet-manager-managed-nodes.md) 进程的补丁合规性信息。有关更多信息,请参阅 [查看补丁合规性结果](patch-manager-view-compliance-results.md)。 | 如果您使用 Quick Setup 扫描托管实例的补丁合规性,您可以在 [Systems Manager Fleet Manager](fleet-manager.md) 中查看合规性报告。在 Fleet Manager 控制台中,选择托管式节点的节点 ID。在**常规**菜单中,选择**配置合规性**。 如果您将Explorer 扫描托管实例的补丁合规性,您可以在 Explorer 和 [Systems Manager OpsCenter](OpsCenter.md) 中查看合规性报告。 |
| 查看补丁合规性结果的 AWS CLI 命令 | 对于使用 `AWS-RunPatchBaseline` 的进程,您可以使用以下 AWS CLI 命令查看有关托管式节点上的补丁的摘要信息。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html) | 对于使用 `AWS-RunPatchBaselineAssociation` 的进程,您可以使用以下 AWS CLI 命令查看有关实例补丁的摘要信息。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html) |
| 修补操作 | 对于使用 `AWS-RunPatchBaseline` 的进程,可以指定是否仅希望该操作运行 `Scan` 操作,或者 `Scan and install` 操作。 如果您的目标是标识而非修复不合规的托管式节点,则仅运行 `Scan` 操作。 | Quick Setup 和 Explorer 进程,使用 AWS-RunPatchBaselineAssociation,请仅运行 Scan 操作。 |
| 更多信息 | [用于修补的 SSM 命令文档:`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md) | [用于修补的 SSM 命令文档:`AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md) |
有关您可能看到报告的各种补丁合规性状态的信息,请参阅 [补丁合规性状态值](patch-manager-compliance-states.md)
有关修复不符合补丁合规性要求的托管式节点的信息,请参阅 [修补不合规的托管式节点](patch-manager-compliance-remediation.md)。
# 补丁合规性状态值
有关托管式节点补丁的信息包括每个单一补丁的状态报告。
**提示**
如果要将特定补丁合规性状态分配给托管式节点,可以使用 [https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html) AWS Command Line Interface(AWS CLI)命令或 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API 操作。控制台中不支持分配合规性状态。
使用下表中的信息可帮助您确定托管式节点可能不符合补丁合规性要求的原因。
## Debian Server 和 Ubuntu Server 的补丁合规性值
对于 Debian Server 和 Ubuntu Server,将软件包分类到不同合规性状态的规则如下表所述。
**注意**
在评估 `INSTALLED`、`INSTALLED_OTHER` 和 `MISSING` 状态值时,请记住以下事项:如果在创建或更新补丁基准时未选中**包括非安全性更新**复选框,则补丁候选版本仅限于以下存储库中的补丁:
Ubuntu Server 16.04 LTS:`xenial-security`
Ubuntu Server 18.04 LTS:`bionic-security`
Ubuntu Server 20.04 LTS:`focal-security`
Ubuntu Server 22.04 LTS:`jammy-security`
Ubuntu Server 24.04 LTS (`noble-security`)
Ubuntu Server 25.04 (`plucky-security`)
`debian-security` (Debian Server)
如果选择了**包括非安全更新**复选框,也会考虑来自其他存储库的补丁。
| 修补状态 | 说明 | 合规性状态 |
| --- | --- | --- |
| **`INSTALLED`** | 补丁在补丁基准中列出,并已安装在托管式节点上。如果托管式节点上已运行 `AWS-RunPatchBaseline` 文档,则可能是由个人手动安装或由 Patch Manager 自动安装补丁。 | 合规 |
| **`INSTALLED_OTHER`** | 补丁不包括在基准中,或者未获基准批准,但已安装在托管式节点上。该补丁可能已手动安装,该软件包可能是另一个已批准补丁的必需依赖项,或者该补丁可能已包含在 InstallOverrideList 操作中。如果您没有指定 `Block` 作为**拒绝的修补**行动,`INSTALLED_OTHER` 补丁还包括已安装但拒绝的补丁。 | 合规 |
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` 可能表示以下任一情况: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/patch-manager-compliance-states.html) 无论是哪种情况,都不表示具有此状态的补丁*需要*重新启动,而是只表示自安装补丁以来该节点尚未重新启动。 | 不合规 |
| **`INSTALLED_REJECTED`** | 该补丁已安装在托管式节点上,但列在 **Rejected patches**(已被拒绝补丁)列表中。这通常意味着补丁是在添加到已拒绝的补丁列表之前安装的。 | 不合规 |
| **`MISSING`** | 基准中已批准补丁,但托管式节点上未安装该补丁。如果将 `AWS-RunPatchBaseline` 文档任务配置为扫描(而不是安装),系统将为扫描期间找到但未安装的补丁报告此状态。 | 不合规 |
| **`FAILED`** | 基准中已批准补丁,但无法安装补丁。要解决此问题,请查看命令输出中是否有可帮助您理解此问题的信息。 | 不合规 |
## 其他操作系统的补丁合规性值
对于除 Debian Server 和 Ubuntu Server 之外的所有操作系统,将软件包分类到不同合规性状态的规则如下表所述。
| 修补状态 | 说明 | 合规性值 |
| --- | --- | --- |
| **`INSTALLED`** | 补丁在补丁基准中列出,并已安装在托管式节点上。如果节点上已运行 `AWS-RunPatchBaseline` 文档,则可能是由个人手动安装或由 Patch Manager 自动安装补丁。 | 合规 |
| **`INSTALLED_OTHER`**¹ | 补丁不在基准中,但已安装在托管式节点上。有两个可能的原因: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/patch-manager-compliance-states.html) | 合规 |
| **`INSTALLED_REJECTED`** | 该补丁已安装在托管式节点上,但列在已被拒绝补丁列表中。这通常意味着补丁是在添加到已拒绝的补丁列表之前安装的。 | 不合规 |
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` 可能表示以下任一情况: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/patch-manager-compliance-states.html) 无论是哪种情况,都不表示具有此状态的补丁*需要*重新启动,而是只表示自安装补丁以来该节点尚未重新启动。 | 不合规 |
| **`MISSING`** | 基准中已批准补丁,但托管式节点上未安装该补丁。如果将 `AWS-RunPatchBaseline` 文档任务配置为扫描(而不是安装),系统将为扫描期间找到但未安装的补丁报告此状态。 | 不合规 |
| **`FAILED`** | 基准中已批准补丁,但无法安装补丁。要解决此问题,请查看命令输出中是否有可帮助您理解此问题的信息。 | 不合规 |
| **`NOT_APPLICABLE`**¹ | *此合规性状态仅针对 Windows Server 操作系统报告。* 基准中已批准补丁,但托管式节点上未安装使用该补丁的服务或功能。例如,如果基准中已批准 Web 服务器服务 [如 Internet Information Services (IIS)] 的补丁,但托管式节点上未安装该 Web 服务,则该补丁将显示 `NOT_APPLICABLE`。如果补丁已由后续更新取代,则也可以将补丁标记为 `NOT_APPLICABLE`。这意味着安装了更高版本的更新,并且不再需要 `NOT_APPLICABLE` 更新。 | 不适用 |
| AVAILABLE\$1SECURITY\$1UPDATES | *此合规性状态仅针对 Windows Server 操作系统报告。* 未经补丁基准批准的可用安全更新补丁可以具有合规性值 `Compliant` 或 `Non-Compliant`,如自定义补丁基准中所定义。 创建或更新补丁基准时,需选择要分配给可用但尚未批准的安全补丁(这些补丁由于不符合补丁基准中指定的安装标准而未获批准)的状态。例如,如果您指定在补丁发布后等待较长时间再进行安装,则会跳过某些您可能希望安装的安全补丁。如果在您指定的等待期内发布了该补丁的更新版本,则该补丁的安装等待期将重新开始。如果等待期过长,则可能会发布多个版本的补丁,但不会进行安装。 对于补丁摘要计数,当某个补丁报告为 `AvailableSecurityUpdate` 时,它将始终计入 `AvailableSecurityUpdateCount`。如果基准配置为将此类补丁报告为 `NonCompliant`,则它们也会计入 `SecurityNonCompliantCount`。如果基准配置为将此类补丁报告为 `Compliant`,则它们不会计入 `SecurityNonCompliantCount`。此类补丁始终以未指定严重性的形式报告,且永远不会计入 `CriticalNonCompliantCount`。 | “合规”或“不合规”,取决于为可用安全更新选择的选项。 通过控制台创建或更新补丁基准,需在**可用安全更新合规性状态**字段中指定此选项。通过 AWS CLI 运行 [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html) 或 [https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html) 命令时,需在 `available-security-updates-compliance-status` 参数中指定此选项。 |
¹ 对于状态为 `INSTALLED_OTHER` 和 `NOT_APPLICABLE` 的补丁,根据 [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html) 命令,Patch Manager 会从查询结果中省略一些数据,例如 `Classification` 和 `Severity` 的值。这样做有助于防止超出 Inventory(AWS Systems Manager 中的一项工具)中单个节点的数据限制。要查看所有补丁的详细信息,可以使用 [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html) 命令。
# 修补不合规的托管式节点
许多 AWS Systems Manager 工具和流程均可用来检查托管式节点是否符合补丁合规性要求,您也可以使用这些工具和流程来使节点符合当前应用的补丁规则。要使托管式节点符合补丁合规性要求,Patch Manager(AWS Systems Manager 中的一项工具)必须运行 `Scan and install` 操作。(如果您的目标仅是标识而非修复不合规的托管式节点,请改为运行 `Scan` 操作。有关更多信息,请参阅 [标识不合规的托管式节点](patch-manager-find-noncompliant-nodes.md)。)
**使用 Systems Manager 安装补丁**
您可以从多个工具中选择以运行 `Scan and install` 操作:
+ (推荐)在Quick Setup(Systems Manager 中的一项工具)中配置补丁策略让您可以按计划为整个组织、部分组织单位或单个 AWS 账户安装缺失的补丁。有关更多信息,请参阅 [使用 Quick Setup 补丁策略为组织中的实例配置修补](quick-setup-patch-manager.md)。
+ 在 Run Command 任务类型中,创建使用 Systems Manager 文档(SSM 文档)`AWS-RunPatchBaseline` 的维护时段。有关信息,请参阅[教程:使用控制台创建修补的维护时段](maintenance-window-tutorial-patching.md)。
+ 在 Run Command 操作中,手动运行 `AWS-RunPatchBaseline`。有关信息,请参阅[从控制台运行命令](running-commands-console.md)。
+ 使用**修补**选项,按需安装补丁。有关信息,请参阅[按需修补托管式节点](patch-manager-patch-now-on-demand.md)。