• 2026 年 4 月 30 日之後， AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板，就像現在一樣。如需詳細資訊，請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 識別不合規的受管節點
<a name="patch-manager-find-noncompliant-nodes"></a>

系統會在兩個 AWS Systems Manager 文件 (SSM 文件) 中的任何一個文件執行時，識別不合規受管節點。這些 SSM 文件會參考 Patch Manager ( AWS Systems Manager中的工具) 中每個受管節點的適當修補基準。然後，他們會評估受管節點的修補程式狀態，然後將合規結果提供給您。

有兩個 SSM 文件可用來識別或更新不合規受管節點：`AWS-RunPatchBaseline` 和 `AWS-RunPatchBaselineAssociation`。每個都會由不同的程序使用，而其合規結果則可透過不同的通道取得。下表概述了這些文件之間的差異。

**注意**  
來自 的修補程式合規資料Patch Manager可以傳送到 AWS Security Hub CSPM。Security Hub CSPM 可讓您全面檢視高優先順序的安全提醒和合規狀態。它還會監控您的機群的修補狀態。如需詳細資訊，請參閱[Patch Manager 與 整合 AWS Security Hub CSPM](patch-manager-security-hub-integration.md)。


|  | `AWS-RunPatchBaseline` | `AWS-RunPatchBaselineAssociation` | 
| --- | --- | --- | 
| 使用文件的程序 |  **隨需修補程式** – 您可以使用 **Patch now** (立即修補) 選項隨需掃描或修補受管節點。如需相關資訊，請參閱[隨需修補受管節點](patch-manager-patch-now-on-demand.md)。 **Systems Manager Quick Setup 修補程式政策** – 您可以在 Quick Setup ( AWS Systems Manager中的工具) 中建立修補組態，該組態可針對整個組織、組織單位子集或單一 AWS 帳戶的單獨排程來掃描或安裝遺失的修補程式。如需相關資訊，請參閱[使用 Quick Setup 修補程式政策設定組織中執行個體的修補](quick-setup-patch-manager.md)。 **執行命令** – 您可以在 Run Command ( AWS Systems Manager中的工具) 中的操作中手動執行 `AWS-RunPatchBaseline`。如需相關資訊，請參閱[從主控台執行命令](running-commands-console.md)。 **Maintenance window** (維護時段) – 您可以在 Run Command 任務類型中建立使用 SSM 文件 `AWS-RunPatchBaseline` 的維護時段。如需相關資訊，請參閱[教學課程：使用主控台建立修補維護時段](maintenance-window-tutorial-patching.md)。  |  **Systems Manager Quick Setup 主機管理** – 您可以在 Quick Setup 中啟用主機管理組態選項，每天掃描受管執行個體，檢查修補程式是否合規。如需相關資訊，請參閱[使用 Quick Setup 設定 Amazon EC2 主機管理](quick-setup-host-management.md)。 **Systems Manager [Explorer](Explorer.md)** – 當您允許 中的工具時Explorer， AWS Systems Manager它會定期掃描受管執行個體是否有修補程式合規，並在Explorer儀表板中報告結果。  | 
| 修補程式掃描結果資料的格式 |  `AWS-RunPatchBaseline` 執行後，Patch Manager 會傳送 `AWS:PatchSummary` 物件至庫存 ( AWS Systems Manager中的工具)。此報告僅由成功修補操作產生，並包含識別何時計算合規狀態的擷取時間。  |  `AWS-RunPatchBaselineAssociation` 執行後，Patch Manager 會傳送 `AWS:ComplianceItem` 物件至 Systems Manager 庫存。  | 
| 在主控台檢視修補的合規報告 |  您可以在 [Systems Manager 組態合規](systems-manager-compliance.md)和 [使用受管節點](fleet-manager-managed-nodes.md) 中檢視使用 `AWS-RunPatchBaseline` 之程序的修補程式合規資訊。如需詳細資訊，請參閱[檢視修補程式合規結果](patch-manager-view-compliance-results.md)。  |  如果使用Quick Setup掃描受管執行個體的修補程式是否合規，則您可以在 [Systems Manager Fleet Manager](fleet-manager.md) 中查看合規報告。在 Fleet Manager 主控台中，選擇受管節點的節點 ID。在**一般**選單中，選擇**組態合規**。 如果使用 Explorer 掃描受管執行個體的修補程式是否合規，則您可以在 Explorer 和 [Systems Manager OpsCenter](OpsCenter.md) 中查看合規報告。  | 
| AWS CLI 檢視修補程式合規結果的 命令 |  對於使用 的程序`AWS-RunPatchBaseline`，您可以使用下列 AWS CLI 命令來檢視受管節點上修補程式的摘要資訊。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html)  |  對於使用 的程序`AWS-RunPatchBaselineAssociation`，您可以使用下列 AWS CLI 命令來檢視執行個體上修補程式的摘要資訊。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/patch-manager-find-noncompliant-nodes.html)  | 
| 修補操作 |  對於使用 `AWS-RunPatchBaseline` 的程序，您可以指定是否讓操作僅執行 `Scan` 操作，或者 `Scan and install` 操作。 如果您的目標是識別不合規受管節點，而不是進行修復，請僅執行 `Scan` 操作。  | 使用 AWS-RunPatchBaselineAssociation 的 Quick Setup 和 Explorer 程序僅執行 Scan 操作。 | 
| 詳細資訊 |  [用於修補的 SSM 命令文件：`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)  |  [用於修補的 SSM 命令文件：`AWS-RunPatchBaselineAssociation`](patch-manager-aws-runpatchbaselineassociation.md)  | 

如需您可能會看到報告各種修補程式合規狀態的相關資訊，請參閱 [修補程式合規狀態值](patch-manager-compliance-states.md)

如需修復修補程式不合規之受管節點的相關資訊，請參閱 [修補不相容的受管節點](patch-manager-compliance-remediation.md)。