• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Cómo generar informes de conformidad de parches en formato .csv
Puede utilizar la consola de AWS Systems Manager para generar informes de conformidad de parches que se guardan como un archivo .csv en un bucket de Amazon Simple Storage Service (Amazon S3) de su elección. Puede generar un informe único bajo demanda o especificar una programación para generar los informes de forma automática.
Los informes se pueden generar para un único nodo administrado o para todos los nodos administrados de la selección de Cuenta de AWS y Región de AWS. En el caso de un único nodo, un informe presenta detalles completos, incluidos los ID de las revisiones relacionadas con un nodo que no es conforme. En el caso de un informe sobre todos los nodos administrados, solo se proporciona información de resumen y recuentos de las revisiones de los nodos no conformes.
Después de generar un informe, puede utilizar una herramienta como Amazon Quick para importar y analizar los datos. Quick es un servicio de inteligencia empresarial (BI) que se puede utilizar para explorar e interpretar la información en un entorno visual interactivo. Para obtener más información, consulte la [Guía del usuario de Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html).
**nota**
Cuando crea una línea de base de revisiones personalizada, puede especificar un nivel de gravedad de conformidad para las revisiones aprobadas por esa línea de base de revisiones, como `Critical` o `High`. Si se informa del estado de cualquier revisión aprobada como `Missing`, la gravedad de la conformidad general notificada por la línea de base de revisiones será el nivel de gravedad que haya especificado.
También puede especificar un tema de Amazon Simple Notification Service (Amazon SNS) que se utilizará para enviar notificaciones cuando se genera un informe.
**Roles de servicio para la generación de informes de conformidad de parches**
La primera vez que se genera un informe, Systems Manager crea un rol de asunción de Automation denominado `AWS-SystemsManager-PatchSummaryExportRole` para utilizarlo en el proceso de exportación a S3.
**nota**
Si va a exportar datos de conformidad a un bucket de S3 cifrado, debe actualizar su política de claves de AWS KMS asociada para proporcionar los permisos necesarios para `AWS-SystemsManager-PatchSummaryExportRole`. Por ejemplo, agregue un permiso similar a este a la política AWS KMS del bucket de S3:
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "{{role-arn}}"
}
```
Reemplace {{role-arn}} por el nombre de recurso de Amazon (ARN) del creado en su cuenta, en el formato `arn:aws:iam::{{111222333444}}:role/service-role/AWS-SystemsManager-PatchSummaryExportRole`.
Para obtener más información, consulte [Políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la *Guía para desarrolladores de AWS Key Management Service*.
La primera vez que se genera un informe en una programación, Systems Manager crea otro rol de servicio denominado `AWS-EventBridge-Start-SSMAutomationRole`, así como el rol de servicio `AWS-SystemsManager-PatchSummaryExportRole` (en caso de no haberse creado ya) para utilizarlo en el proceso de exportación. `AWS-EventBridge-Start-SSMAutomationRole` permite que Amazon EventBridge inicie una automatización mediante el manual de procedimientos [AWS-ExportPatchReportToS3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).
Se recomienda no intentar modificar estas políticas y roles. En caso de hacerlo, podría producirse un error al generar el informe de conformidad de parches. Para obtener más información, consulte [Solución de problemas relacionados con la generación de informes de conformidad de parches](#patch-compliance-reports-troubleshooting).
**Topics**
+ [¿Qué incluye un informe de conformidad de parches generado?](#patch-compliance-reports-to-s3-examples)
+ [Cómo generar informes de conformidad de revisiones para un único nodo administrado](#patch-compliance-reports-to-s3-one-instance)
+ [Cómo generar informes de conformidad de revisiones para todos los nodos administrados](#patch-compliance-reports-to-s3-all-instances)
+ [Cómo visualizar el historial de informes de conformidad de parches](#patch-compliance-reporting-history)
+ [Cómo visualizar la programación de generación de informes de conformidad de parches](#patch-compliance-reporting-schedules)
+ [Solución de problemas relacionados con la generación de informes de conformidad de parches](#patch-compliance-reports-troubleshooting)
## ¿Qué incluye un informe de conformidad de parches generado?
Este tema proporciona información acerca de los tipos de contenido incluidos en los informes de conformidad de parches que se generan y descargan en un bucket de S3 especificado.
### Formato de informe para un único nodo administrado
Un informe generado para un único nodo administrado proporciona información de resumen y detallada.
[Descargar un ejemplo de informe (único nodo)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-single-instance-patch-compliance-report.zip)
La información de resumen de un único nodo administrado incluye lo siguiente:
+ Index
+ ID de instancia
+ Nombre de instancia
+ IP de la instancia
+ nombre de la plataforma
+ Versión de la plataforma
+ SSM AgentVersión
+ línea de base de revisiones
+ grupo de parches
+ Compliance status (Estado de conformidad)
+ severidad de la conformidad
+ recuento de parches de severidad crítica no conformes
+ recuento de parches de severidad alta no conformes
+ recuento de parches de severidad media no conformes
+ recuento de parches de severidad baja no conformes
+ recuento de parches de severidad informativa no conformes
+ recuento de parches de severidad sin especificar no conformes
La información detallada de un único nodo administrado incluye lo siguiente:
+ Index
+ ID de instancia
+ Nombre de instancia
+ nombre del parche
+ ID de KB o ID de parche
+ estado del parche
+ hora del último informe
+ nivel de conformidad
+ gravedad del parche
+ clasificación del parche
+ ID de CVE
+ línea de base de revisiones
+ URL de registros
+ IP de la instancia
+ nombre de la plataforma
+ Versión de la plataforma
+ SSM AgentVersión
**nota**
Cuando crea una línea de base de revisiones personalizada, puede especificar un nivel de gravedad de conformidad para las revisiones aprobadas por esa línea de base de revisiones, como `Critical` o `High`. Si se informa del estado de cualquier revisión aprobada como `Missing`, la gravedad de la conformidad general notificada por la línea de base de revisiones será el nivel de gravedad que haya especificado.
### Formato de informe para todos los nodos administrados
Un informe generado para todos los nodos administrados proporciona únicamente información de resumen.
[Descargar un informe de ejemplo (todos los nodos administrados)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-all-instances-patch-compliance-report.zip)
La información de resumen de todos los nodos administrados incluye lo siguiente:
+ Index
+ ID de instancia
+ Nombre de instancia
+ IP de la instancia
+ nombre de la plataforma
+ Versión de la plataforma
+ SSM AgentVersión
+ línea de base de revisiones
+ grupo de parches
+ Compliance status (Estado de conformidad)
+ severidad de la conformidad
+ recuento de parches de severidad crítica no conformes
+ recuento de parches de severidad alta no conformes
+ recuento de parches de severidad media no conformes
+ recuento de parches de severidad baja no conformes
+ recuento de parches de severidad informativa no conformes
+ recuento de parches de severidad sin especificar no conformes
## Cómo generar informes de conformidad de revisiones para un único nodo administrado
Utilice el siguiente procedimiento para generar un informe de resumen de revisiones para un único nodo administrado en la Cuenta de AWS. El informe para un único nodo administrado proporciona detalles sobre cada revisión que no está en conformidad, incluidos los nombres e ID de las revisiones.
**Cómo generar informes de conformidad de revisiones para un único nodo administrado**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Patch Manager**.
1. Elija la pestaña **Compliance reporting** (Informes de conformidad).
1. Elija el botón de la fila del nodo administrado para el que desea generar un informe y, a continuación, elija **View detail** (Ver detalle).
1. En la sección **Patch summary** (Resumen de revisiones), elija **Export to S3** (Exportar a S3).
1. En **Report name** (Nombre del informe), ingrese un nombre que le permita identificar el informe más adelante.
1. En **Reporting frequency** (Frecuencia de la generación de informes), elija una de las siguientes opciones:
+ **On demand** (Bajo demanda): cree un informe único Vaya al paso 9.
+ **On a schedule** (Programación): especifique una programación periódica para la generación automática de informes. Continúe con el paso 8.
1. En **Schedule type** (Tipo de programación), especifique una expresión rate, por ejemplo, cada 3 días, o proporcione una expresión cron que configure la frecuencia del informe.
Para obtener más información acerca de las expresiones cron, consulte [Referencia: expresiones cron y rate para Systems Manager](reference-cron-and-rate-expressions.md).
1. En **Bucket name** (Nombre del bucket), seleccione el nombre de un bucket de S3 en el que desee almacenar los archivos de informe .csv.
**importante**
Si trabaja en una Región de AWS que se lanzó después del 20 de marzo de 2019, deberá seleccionar un bucket de S3 en la misma región. Las regiones lanzadas después de esa fecha se desactivaron de forma predeterminada. Para obtener más información sobre estas regiones y una lista de ellas, consulte [Enabling a Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) en la *Referencia general de Amazon Web Services*.
1. (Opcional) Para enviar notificaciones cuando se genere el informe, expanda la sección **SNS topic** (Tema de SNS) y, a continuación, elija un tema de Amazon SNS existente desde **SNS topic Amazon Resource Name (ARN)** (Nombre de recurso de Amazon (ARN) del tema de SNS).
1. Elija **Enviar**.
Para obtener información acerca de cómo ver un historial de informes generados, consulte [Cómo visualizar el historial de informes de conformidad de parches](#patch-compliance-reporting-history).
Para obtener información acerca de cómo ver los detalles de las programaciones de generación de informes que ha creado, consulte [Cómo visualizar la programación de generación de informes de conformidad de parches](#patch-compliance-reporting-schedules).
## Cómo generar informes de conformidad de revisiones para todos los nodos administrados
Utilice el siguiente procedimiento para generar un informe de resumen de revisiones para todos los nodos administrados en la Cuenta de AWS. El informe de todos los nodos administrados muestra cuáles son los nodos y los números de las revisiones que no están en conformidad. No proporciona los nombres ni otros identificadores de los parches. Para obtener estos detalles adicionales, puede generar un informe de conformidad de revisiones para un único nodo administrado. Para obtener información, consulte la sección [Cómo generar informes de conformidad de revisiones para un único nodo administrado](#patch-compliance-reports-to-s3-one-instance) que se ha expuesto anteriormente en este tema.
**Cómo generar informes de conformidad de revisiones para todos los nodos administrados**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Patch Manager**.
1. Elija la pestaña **Compliance reporting** (Informes de conformidad).
1. Elija **Export to S3** (Exportar a S3). (No seleccione primero un ID de nodo).
1. En **Report name** (Nombre del informe), ingrese un nombre que le permita identificar el informe más adelante.
1. En **Reporting frequency** (Frecuencia de la generación de informes), elija una de las siguientes opciones:
+ **On demand** (Bajo demanda): cree un informe único Vaya al paso 8.
+ **On a schedule** (Programación): especifique una programación periódica para la generación automática de informes. Continúe en el paso 7.
1. En **Schedule type** (Tipo de programación), especifique una expresión rate, por ejemplo, cada 3 días, o proporcione una expresión cron que configure la frecuencia del informe.
Para obtener más información acerca de las expresiones cron, consulte [Referencia: expresiones cron y rate para Systems Manager](reference-cron-and-rate-expressions.md).
1. En **Bucket name** (Nombre del bucket), seleccione el nombre de un bucket de S3 en el que desee almacenar los archivos de informe .csv.
**importante**
Si trabaja en una Región de AWS que se lanzó después del 20 de marzo de 2019, deberá seleccionar un bucket de S3 en la misma región. Las regiones lanzadas después de esa fecha se desactivaron de forma predeterminada. Para obtener más información sobre estas regiones y una lista de ellas, consulte [Enabling a Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) en la *Referencia general de Amazon Web Services*.
1. (Opcional) Para enviar notificaciones cuando se genere el informe, expanda la sección **SNS topic** (Tema de SNS) y, a continuación, elija un tema de Amazon SNS existente desde **SNS topic Amazon Resource Name (ARN)** (Nombre de recurso de Amazon (ARN) del tema de SNS).
1. Elija **Enviar**.
Para obtener información acerca de cómo ver un historial de informes generados, consulte [Cómo visualizar el historial de informes de conformidad de parches](#patch-compliance-reporting-history).
Para obtener información acerca de cómo ver los detalles de las programaciones de generación de informes que ha creado, consulte [Cómo visualizar la programación de generación de informes de conformidad de parches](#patch-compliance-reporting-schedules).
## Cómo visualizar el historial de informes de conformidad de parches
Utilice la información de este tema para que pueda ver los detalles acerca de los informes de conformidad de parches generados en su Cuenta de AWS.
**Cómo visualizar el historial de informes de conformidad de parches**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Patch Manager**.
1. Elija la pestaña **Compliance reporting** (Informes de conformidad).
1. Elija **View all S3 exports** (Ver todas las exportaciones de S3) y, a continuación, elija la pestaña **Export history** (Historial de exportación).
## Cómo visualizar la programación de generación de informes de conformidad de parches
Utilice la información de este tema para que pueda ver los detalles acerca de las programaciones de generación de informes de conformidad de parches que ha creado en su Cuenta de AWS.
**Cómo visualizar el historial de informes de conformidad de parches**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Patch Manager**.
1. Elija la pestaña **Compliance reporting** (Informes de conformidad).
1. Elija **View all S3 exports** (Ver todas las exportaciones de S3) y, a continuación, elija la pestaña **Report scheduled rules** (Informar reglas programadas).
## Solución de problemas relacionados con la generación de informes de conformidad de parches
Utilice la siguiente información que lo ayudará a solucionar problemas con la generación de informes de conformidad de parches en Patch Manager, una herramienta de AWS Systems Manager.
**Topics**
+ [Un mensaje notifica que la política `AWS-SystemsManager-PatchManagerExportRolePolicy` está dañada.](#patch-compliance-reports-troubleshooting-1)
+ [Después de eliminar roles o políticas de conformidad de parches, los informes programados no se generan correctamente](#patch-compliance-reports-troubleshooting-2)
### Un mensaje notifica que la política `AWS-SystemsManager-PatchManagerExportRolePolicy` está dañada.
**Problema:** recibe un mensaje de error similar al siguiente, en el que se indica que `AWS-SystemsManager-PatchManagerExportRolePolicy` está dañado:
```
An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any
role that uses it, then try again. Systems Manager recreates the roles and policies
you have deleted.
```
+ **Solución**: utilice la consola Patch Manager o la AWS CLI para eliminar los roles y las políticas afectadas antes de generar un nuevo informe de cumplimiento de las revisiones.
**Cómo eliminar la política dañada con la consola**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Realice una de las siguientes acciones:
**Informes bajo demanda:** si el problema se produjo cuando se generaba un informe bajo demanda único, en el panel de navegación izquierdo, elija **Policies** (Políticas), busque `AWS-SystemsManager-PatchManagerExportRolePolicy`, y, a continuación, elimine la política. Luego, elija **Roles** (Roles), busque `AWS-SystemsManager-PatchSummaryExportRole` y, a continuación, elimine el rol.
**Informes programados:** si el problema se produjo mientras generaba un informe en una programación, en el panel de navegación izquierdo, elija **Políticas**, busque una a la vez en `AWS-EventBridge-Start-SSMAutomationRolePolicy` y `AWS-SystemsManager-PatchManagerExportRolePolicy` y elimine cada política. Luego, elija **Roles** (Roles), busque uno a la vez en `AWS-EventBridge-Start-SSMAutomationRole` y `AWS-SystemsManager-PatchSummaryExportRole` y, a continuación, elimine cada rol.
**Cómo eliminar una política dañada con la AWS CLI**
Sustituya los {{valores de marcador}} por su ID de la cuenta.
+ Si el problema se produjo al generar un informe único bajo demanda, ejecute los siguientes comandos:
```
aws iam delete-policy --policy-arn arn:aws:iam::{{account-id}}:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
```
```
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
```
Si el problema se produjo al generar un informe programado, ejecute los siguientes comandos:
```
aws iam delete-policy --policy-arn arn:aws:iam::{{account-id}}:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
```
```
aws iam delete-policy --policy-arn arn:aws:iam::{{account-id}}:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
```
```
aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
```
```
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
```
Después de completar cualquiera de los procedimientos, siga los pasos para generar o programar un nuevo informe de conformidad de revisiones.
### Después de eliminar roles o políticas de conformidad de parches, los informes programados no se generan correctamente
**Problema:** la primera vez que se genera un informe, Systems Manager crea un rol de servicio y una política para utilizarlos en el proceso de exportación (`AWS-SystemsManager-PatchSummaryExportRole` y `AWS-SystemsManager-PatchManagerExportRolePolicy`). La primera vez que se genera un informe en una programación, Systems Manager crea otro rol de servicio y una política (`AWS-EventBridge-Start-SSMAutomationRole` y `AWS-EventBridge-Start-SSMAutomationRolePolicy`). Estas permiten que Amazon EventBridge inicie una automatización mediante el manual de procedimientos [AWS-ExportPatchReportToS3 ](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).
Si elimina alguna de estas políticas o roles, es posible que se pierdan las conexiones entre su programación y el bucket de S3 y el tema de Amazon SNS especificados.
+ **Solución**: para resolver este problema, se recomienda eliminar la programación anterior y crear una nueva que reemplace a la que presentaba problemas.