AWS Systems ManagerのエージェントをWindows EC2インスタンスにインストール済みで、マネージドインスタンスとして確認がとれているインスタンスのパッチコンプライアンスのステータスを確認してみたいと思います。

以下のi-0fc8232827e0748d1のマネージドインスタンスをベースにして見てみます。

AWS Systems Managerにてコンプライアンスのステータスを確認するには、Systems Manager(SSM)のマネージメントコンソールにて、Complianceを選択します。

こちらを見ると、私の環境で以前確認したインスタンスのコンプライアンスステータスが見れますが、今回見ようとしているi-0fc8232827e0748d1はまだ何も表示されていません。

こちらの状態でAWS-RunPatchBaselineのコマンドで、引数をScanで指定して実行してみます。同じ画面の下部でScanを指定して、コマンドを実行します。

AWS-RunPatchBaselineのコマンドでScanを実行した結果、成功と表示されました。

実行した結果、以下のメッセージが出力されました。

Patch Summary for i-0fc8232827e0748d1

PatchGroup : 

BaselineId : pb-04ba050f612fba3a6

SnapshotId : e2a05e73-f205-4959-88c9-c763bb3c63b2

OwnerInformation : 

OperationType : Scan

OperationStartTime : 2018-05-02T09:47:31.5522091Z

OperationEndTime : 2018-05-02T09:47:47.0833793Z

InstalledCount : 1

InstalledOtherCount : 11

FailedCount : 0

MissingCount : 1

NotApplicableCount : 2403

EC2AMAZ-99HABA7 - PatchBaselineOperations Assessment Results - 2018-05-02T09:47:49.520

Scan found the following updates missing:

KB4093120

PatchBaselineOperaseion Assessment結果としては、一部Updateが不足しているようです。この状態でAWS Systems Managerのコンプライアンスの画面を見てみます。

先ほどのコンプライアンスのスクリーンショットと比較してみてください。先ほどは表示されていなかったi-0fc8232827e0748d1のコンプライアンスステータスが表示されるようになり、かつPatchBaselineOperationに非準拠であるため、グラフで赤く表示されているのが分かります。

このように、AWS-RunPatchBaselineのScanを実行するだけで、自動でコンプライアンスのステータスを確認できるようになるようです。

以上で、パッチコンプライアンスのステータスを確認することができました。PatchBaselineのインストールの手順は前回の記事で紹介しているので、今回は割愛します。