

• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Génération de rapports de conformité des correctifs .csv
<a name="patch-manager-store-compliance-results-in-s3"></a>

Vous pouvez utiliser la AWS Systems Manager console pour générer des rapports de conformité des correctifs qui sont enregistrés sous forme de fichier .csv dans un bucket Amazon Simple Storage Service (Amazon S3) de votre choix. Vous pouvez générer un rapport à la demande unique ou planifier la génération automatique des rapports. 

Les rapports peuvent être générés pour un seul nœud géré ou pour tous les nœuds gérés de votre choix Compte AWS et Région AWS. Un rapport portant sur un nœud individuel contient des détails complets, notamment les ID des correctifs liés à un nœud non conforme. Un rapport portant sur tous les nœuds gérés, quant à lui, ne contient que des informations sommaires ainsi que le nombre de correctifs liés aux nœuds non conformes.

Une fois le rapport généré, vous pouvez utiliser un outil tel qu'Amazon Quick pour importer et analyser les données. Quick est un service de business intelligence (BI) que vous pouvez utiliser pour explorer et interpréter des informations dans un environnement visuel interactif. Pour plus d'informations, consultez le [guide d'utilisation rapide d'Amazon](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html).

**Note**  
Lorsque vous créez un référentiel de correctifs personnalisé, vous pouvez spécifier un niveau de sévérité de conformité pour les correctifs approuvés par ce référentiel de correctifs, tel que `Critical` ou `High`. Si l'état des correctifs d'un correctif approuvé est indiqué `Missing`, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.

Vous pouvez aussi spécifier une rubrique Amazon Simple Notification Service (Amazon SNS) à utiliser pour envoyer des notifications lorsqu'un rapport est généré.

**Rôles de service pour la génération de rapports de conformité des correctifs**  
La première fois que vous générez un rapport, Systems Manager crée un rôle responsable Automation nommé `AWS-SystemsManager-PatchSummaryExportRole` à utiliser pour le processus d'exportation vers S3.

**Note**  
Si vous exportez des données de conformité vers un compartiment S3 chiffré, vous devez mettre à jour la politique de AWS KMS clé associée afin de fournir les autorisations nécessaires pour`AWS-SystemsManager-PatchSummaryExportRole`. Par exemple, ajoutez une autorisation similaire à celle-ci à la AWS KMS politique de votre compartiment S3 :  

```
{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "{{role-arn}}"
}
```
{{role-arn}}Remplacez-le par le Amazon Resource Name (ARN) du fichier créé dans votre compte, au format`arn:aws:iam::{{111222333444}}:role/service-role/AWS-SystemsManager-PatchSummaryExportRole`.  
Pour plus d’informations, consultez [Politiques de clé dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dans le *Guide du développeur AWS Key Management Service *.

La première fois que vous générez un rapport selon un calendrier, Systems Manager crée un autre rôle de service nommé`AWS-EventBridge-Start-SSMAutomationRole`, ainsi que le rôle de service `AWS-SystemsManager-PatchSummaryExportRole` (s'il n'est pas déjà créé) à utiliser pour le processus d'exportation. `AWS-EventBridge-Start-SSMAutomationRole`permet EventBridge à Amazon de démarrer une automatisation à l'aide du runbook [AWS- ExportPatchReportToS3](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).

Nous vous déconseillons de tenter de modifier ces politiques et ces rôles. Cela pourrait entraîner l'échec de la génération de rapports de conformité des correctifs. Pour de plus amples informations, veuillez consulter [Résolution des problèmes liés à la génération de rapports de conformité des correctifs](#patch-compliance-reports-troubleshooting).

**Topics**
+ [Qu'est-ce qu'un rapport de conformité des correctifs généré ?](#patch-compliance-reports-to-s3-examples)
+ [Génération de rapports de conformité des correctifs pour un nœud géré individuel](#patch-compliance-reports-to-s3-one-instance)
+ [Génération de rapports de conformité des correctifs pour tous les nœuds gérés](#patch-compliance-reports-to-s3-all-instances)
+ [Affichage de l'historique de génération de rapports de conformité des correctifs](#patch-compliance-reporting-history)
+ [Affichage des calendriers de rapports de conformité des correctifs](#patch-compliance-reporting-schedules)
+ [Résolution des problèmes liés à la génération de rapports de conformité des correctifs](#patch-compliance-reports-troubleshooting)

## Qu'est-ce qu'un rapport de conformité des correctifs généré ?
<a name="patch-compliance-reports-to-s3-examples"></a>

Cette rubrique fournit des informations sur les types de contenu inclus dans les rapports de conformité des correctifs qui sont générés et téléchargés dans un compartiment S3 spécifié.

### Format de rapport pour un nœud géré individuel
<a name="patch-compliance-reports-to-s3-examples-single-instance"></a>

Un rapport généré pour un nœud géré individuel fournit à la fois des informations sommaires et détaillées.

[Télécharger un exemple de rapport (pour un nœud individuel)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-single-instance-patch-compliance-report.zip)

Les informations sommaires fournies pour un nœud géré individuel sont les suivantes :
+ Index
+ ID d’instance
+ Instance name
+ Adresse IP d'instance
+ Nom de la plateforme
+ Version de la plateforme
+ Version de l’SSM Agent
+ Référentiel de correctifs
+ Groupe de correctifs
+ Statut de conformité
+ Sévérité de conformité
+ Nombre de correctifs de sévérité critique non conformes
+ Nombre de correctifs de sévérité élevée non conformes
+ Nombre de correctifs de sévérité moyenne non conformes
+ Nombre de correctifs de sévérité faible non conformes
+ Nombre de correctifs de sévérité informationnelle non conformes
+ Nombre de correctifs de sévérité non spécifiée non conformes

Les informations détaillées fournies pour un nœud géré individuel sont les suivantes :
+ Index
+ ID d’instance
+ Instance name
+ Nom du correctif
+  ID/Patch ID KB
+ État du correctif
+ Heure du dernier rapport
+ Niveau de conformité
+ Sévérité du correctif
+ Classification des correctifs
+ ID CVE
+ Référentiel de correctifs
+ URL des journaux
+ Adresse IP d'instance
+ Nom de la plateforme
+ Version de la plateforme
+ Version de l’SSM Agent

**Note**  
Lorsque vous créez un référentiel de correctifs personnalisé, vous pouvez spécifier un niveau de sévérité de conformité pour les correctifs approuvés par ce référentiel de correctifs, tel que `Critical` ou `High`. Si l'état des correctifs d'un correctif approuvé est indiqué `Missing`, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.

### Format de rapport pour tous les nœuds gérés
<a name="patch-compliance-reports-to-s3-examples-all-instances"></a>

Un rapport généré pour tous les nœuds gérés ne fournit que des informations sommaires.

[Télécharger un exemple de rapport (pour tous les nœuds gérés)](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/Sample-all-instances-patch-compliance-report.zip)

Les informations sommaires fournies pour tous les nœuds gérés sont les suivantes :
+ Index
+ ID d’instance
+ Instance name
+ Adresse IP d'instance
+ Nom de la plateforme
+ Version de la plateforme
+ Version de l’SSM Agent
+ Référentiel de correctifs
+ Groupe de correctifs
+ Statut de conformité
+ Sévérité de conformité
+ Nombre de correctifs de sévérité critique non conformes
+ Nombre de correctifs de sévérité élevée non conformes
+ Nombre de correctifs de sévérité moyenne non conformes
+ Nombre de correctifs de sévérité faible non conformes
+ Nombre de correctifs de sévérité informationnelle non conformes
+ Nombre de correctifs de sévérité non spécifiée non conformes

## Génération de rapports de conformité des correctifs pour un nœud géré individuel
<a name="patch-compliance-reports-to-s3-one-instance"></a>

Procédez comme suit pour générer un rapport sommaire sur les correctifs relatifs à un nœud géré individuel dans votre Compte AWS. Le rapport généré pour un nœud géré individuel fournit des détails sur chaque correctif non conforme, notamment son nom et son ID. 

**Pour générer des rapports de conformité des correctifs pour un nœud géré individuel**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Patch Manager**.

1. Sélectionnez l'onglet **Compliance reporting (Rapports de conformité)**.

1. Cliquez sur le bouton correspondant à la ligne du nœud géré pour lequel vous souhaitez générer un rapport, puis sélectionnez **View detail (Afficher les détails)**.

1. Dans la section **Patch summary (Récapitulatif des correctifs)**, sélectionnez **Export to S3 (Exporter vers S3)**.

1. Pour **Nom du rapport**, saisissez un nom qui vous aidera à identifier le rapport ultérieurement.

1. Pour **Fréquence de génération de rapports**, sélectionnez l'une des options suivantes :
   + **À la demande** : pour créer un rapport unique. Passez à l'étape 9.
   + **Planifiée** : spécifie une planification récurrente pour la génération automatique de rapports. Passez à l'étape 8.

1. Pour **Type de programme**, spécifiez une expression rate, par exemple tous les 3 jours, ou fournissez une expression cron pour définir la fréquence du rapport.

   Pour plus d'informations sur les expressions cron, consultez [Référence : Expressions Cron et Rate pour Systems Manager](reference-cron-and-rate-expressions.md).

1. Pour **Nom du compartiment**, sélectionnez le nom du compartiment S3 dans lequel vous voulez stocker les fichiers de rapport .csv.
**Important**  
Si vous travaillez dans un Région AWS compartiment lancé après le 20 mars 2019, vous devez sélectionner un compartiment S3 dans cette même région. Les régions lancées après cette date ont été désactivées par défaut. Pour plus d'informations et une liste de ces régions, veuillez consulter la rubrique [Activation d'une région](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) dans la *Référence générale d'Amazon Web Services*.

1. (Facultatif) Pour envoyer des notifications lorsque le rapport est généré, développez la section **SNS topic (Rubrique SNS)**, puis sélectionnez une rubrique Amazon SNS existante dans **SNS topic Amazon Resource Name (ARN) (Amazon Resource Name (ARN) de rubrique SNS)**.

1. Sélectionnez **Submit (Envoyer)**.

Pour obtenir des informations sur l'affichage d'un historique des rapports générés, veuillez consulter [Affichage de l'historique de génération de rapports de conformité des correctifs](#patch-compliance-reporting-history).

Pour obtenir des informations sur l'affichage des détails relatifs aux calendriers de génération de rapports que vous avez créés, veuillez consulter [Affichage des calendriers de rapports de conformité des correctifs](#patch-compliance-reporting-schedules).

## Génération de rapports de conformité des correctifs pour tous les nœuds gérés
<a name="patch-compliance-reports-to-s3-all-instances"></a>

Procédez comme suit pour générer un rapport sommaire sur les correctifs relatifs à tous les nœuds gérés de votre Compte AWS. Le rapport portant sur tous les nœuds gérés désigne les nœuds qui ne sont pas conformes et le nombre de correctifs non conformes. Il ne fournit pas les noms ou autres identifiants des correctifs. Pour plus de détails, vous pouvez générer un rapport de conformité des correctifs portant sur un nœud géré individuel. Pour plus d'informations, consultez [Génération de rapports de conformité des correctifs pour un nœud géré individuel](#patch-compliance-reports-to-s3-one-instance) plus haut dans cette rubrique. 

**Pour générer des rapports de conformité des correctifs pour tous les nœuds gérés**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Patch Manager**.

1. Sélectionnez l'onglet **Compliance reporting (Rapports de conformité)**.

1. Sélectionnez **Exporter vers S3**. (Évitez de sélectionner un ID de nœud en premier).

1. Pour **Nom du rapport**, saisissez un nom qui vous aidera à identifier le rapport ultérieurement.

1. Pour **Fréquence de génération de rapports**, sélectionnez l'une des options suivantes :
   + **À la demande** : pour créer un rapport unique. Passez à l'étape 8.
   + **Planifiée** : spécifie une planification récurrente pour la génération automatique de rapports. Passez à l'étape 7.

1. Pour **Type de programme**, spécifiez une expression rate, par exemple tous les 3 jours, ou fournissez une expression cron pour définir la fréquence du rapport.

   Pour plus d'informations sur les expressions cron, consultez [Référence : Expressions Cron et Rate pour Systems Manager](reference-cron-and-rate-expressions.md).

1. Pour **Nom du compartiment**, sélectionnez le nom du compartiment S3 dans lequel vous voulez stocker les fichiers de rapport .csv.
**Important**  
Si vous travaillez dans un Région AWS compartiment lancé après le 20 mars 2019, vous devez sélectionner un compartiment S3 dans cette même région. Les régions lancées après cette date ont été désactivées par défaut. Pour plus d'informations et une liste de ces régions, veuillez consulter la rubrique [Activation d'une région](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) dans la *Référence générale d'Amazon Web Services*.

1. (Facultatif) Pour envoyer des notifications lorsque le rapport est généré, développez la section **SNS topic (Rubrique SNS)**, puis sélectionnez une rubrique Amazon SNS existante dans **SNS topic Amazon Resource Name (ARN) (Amazon Resource Name (ARN) de rubrique SNS)**.

1. Sélectionnez **Submit (Envoyer)**.

Pour obtenir des informations sur l'affichage d'un historique des rapports générés, veuillez consulter [Affichage de l'historique de génération de rapports de conformité des correctifs](#patch-compliance-reporting-history).

Pour obtenir des informations sur l'affichage des détails relatifs aux calendriers de génération de rapports que vous avez créés, veuillez consulter [Affichage des calendriers de rapports de conformité des correctifs](#patch-compliance-reporting-schedules).

## Affichage de l'historique de génération de rapports de conformité des correctifs
<a name="patch-compliance-reporting-history"></a>

Utilisez les informations de cette rubrique pour vous aider à consulter les détails des rapports de conformité des correctifs générés dans votre Compte AWS.

**Pour afficher l'historique de génération de rapports de conformité des correctifs**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Patch Manager**.

1. Sélectionnez l'onglet **Compliance reporting (Rapports de conformité)**.

1. Sélectionnez **Afficher toutes les exportations vers S3**, puis sélectionnez l'onglet **Historique des exportations**.

## Affichage des calendriers de rapports de conformité des correctifs
<a name="patch-compliance-reporting-schedules"></a>

Utilisez les informations de cette rubrique pour vous aider à consulter les détails des calendriers de rapports de conformité des correctifs créés dans votre Compte AWS.

**Pour afficher l'historique de génération de rapports de conformité des correctifs**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Patch Manager**.

1. Sélectionnez l'onglet **Compliance reporting (Rapports de conformité)**.

1. Sélectionnez **View all S3 exports (Afficher toutes les exportations S3)**, puis l'onglet **Report schedule rules (Règles de planification de rapport)**.

## Résolution des problèmes liés à la génération de rapports de conformité des correctifs
<a name="patch-compliance-reports-troubleshooting"></a>

Utilisez les informations suivantes pour résoudre les problèmes liés à la génération de rapports de conformité des correctifs dans Patch Manager, un outil d’ AWS Systems Manager.

**Topics**
+ [Un message signale que la politique `AWS-SystemsManager-PatchManagerExportRolePolicy` est corrompue](#patch-compliance-reports-troubleshooting-1)
+ [La suppression des politiques ou des rôles de conformité des correctifs empêche la génération correcte des rapports planifiés.](#patch-compliance-reports-troubleshooting-2)

### Un message signale que la politique `AWS-SystemsManager-PatchManagerExportRolePolicy` est corrompue
<a name="patch-compliance-reports-troubleshooting-1"></a>

**Problème** : vous recevez un message d'erreur semblable au suivant, indiquant que la valeur `AWS-SystemsManager-PatchManagerExportRolePolicy` est corrompue :

```
An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.
```
+ **Solution** : utilisez la Patch Manager console ou supprimez AWS CLI les rôles et politiques concernés avant de générer un nouveau rapport de conformité des correctifs.

**Pour supprimer la politique corrompue à l'aide de la console**

  1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

  1. Effectuez l’une des actions suivantes :

     **On-demand rapports** — Si le problème est survenu lors de la génération d'un rapport unique à la demande, dans le volet de navigation de gauche, sélectionnez **Politiques**`AWS-SystemsManager-PatchManagerExportRolePolicy`, recherchez puis supprimez la politique. Ensuite, sélectionnez **Rôles**, recherchez `AWS-SystemsManager-PatchSummaryExportRole`, puis supprimez le rôle.

     **Rapports planifiés** : si le problème s'est produit lors de la génération d'un rapport planifié, dans le panneau de navigation de gauche, sélectionnez **Politiques**, recherchez `AWS-EventBridge-Start-SSMAutomationRolePolicy` et `AWS-SystemsManager-PatchManagerExportRolePolicy` une par une, et supprimez chaque politique. Ensuite, sélectionnez **Rôles**, recherchez `AWS-EventBridge-Start-SSMAutomationRole` et `AWS-SystemsManager-PatchSummaryExportRole` un par un, et supprimez chaque rôle.

**Pour supprimer la politique corrompue à l'aide du AWS CLI**

  Remplacez le {{placeholder values}} par votre identifiant de compte.
  + Si le problème s'est produit lors de la génération d'un rapport unique à la demande, exécutez les commandes suivantes :

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::{{account-id}}:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
    ```

    ```
    aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
    ```

    Si le problème s'est produit lors de la génération d'un rapport selon une planification, exécutez les commandes suivantes :

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::{{account-id}}:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
    ```

    ```
    aws iam delete-policy --policy-arn arn:aws:iam::{{account-id}}:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
    ```

    ```
    aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
    ```

    ```
    aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
    ```

  Après avoir effectué l'une des deux procédures, suivez les étapes pour générer ou planifier un nouveau rapport de conformité des correctifs.

### La suppression des politiques ou des rôles de conformité des correctifs empêche la génération correcte des rapports planifiés.
<a name="patch-compliance-reports-troubleshooting-2"></a>

**Problème** : la première fois que vous générez un rapport, Systems Manager crée un rôle de service et une politique à utiliser pour le processus d'exportation (`AWS-SystemsManager-PatchSummaryExportRole` et `AWS-SystemsManager-PatchManagerExportRolePolicy`). La première fois que vous générez un rapport planifié, Systems Manager crée un autre rôle de service et une autre politique (`AWS-EventBridge-Start-SSMAutomationRole` et `AWS-EventBridge-Start-SSMAutomationRolePolicy`). Ils permettent EventBridge à Amazon de démarrer une automatisation à l'aide du runbook [AWS- ExportPatchReportToS3 ](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-exportpatchreporttos3).

Si vous supprimez l'une de ces politiques ou l'un de ces rôles, les connexions entre votre calendrier et votre compartiment S3 spécifié et la rubrique Amazon SNS peuvent être perdues. 
+ **Solution** : pour contourner ce problème, nous vous recommandons de supprimer le calendrier précédent et de créer un calendrier pour remplacer celui qui présentait des problèmes.