• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden von Kernel Live Patching auf von Amazon Linux 2 verwalteten Knoten
<a name="patch-manager-kernel-live-patching"></a>

Kernel Live Patching für Amazon Linux 2 ermöglicht es Ihnen, Patches für Sicherheitsschwachstellen und kritische Fehler auf einen laufenden Linux-Kernel anzuwenden, ohne Neustarts oder Unterbrechungen der laufenden Anwendungen. Sie profitieren damit von einer verbesserten Service- und Anwendungsverfügbarkeit, gleichzeitig bleibt Ihre Infrastruktur sicher und auf dem neuesten Stand. Kernel Live Patching wird auf Amazon-EC2-Instances und AWS IoT Greengrass -Core-Geräten unterstützt sowie auf [virtuellen On-Premises-Maschinen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-2-virtual-machine.html), die auf Amazon Linux 2 ausgeführt werden.

Allgemeine Informationen zu Kernel Live Patching finden Sie unter [Kernel Live Patchingon AL2](https://docs.aws.amazon.com/linux/al2/ug/al2-live-patching.html) im *Amazon Linux 2-Benutzerhandbuch*.

Nachdem Sie Kernel Live Patching auf einem von Amazon Linux 2 verwalteten Knoten aktiviert haben, können Sie Patch Manager, ein Tool in AWS Systems Manager, verwenden, um Kernel-Live-Patches auf den verwalteten Knoten anzuwenden. Die Verwendung des Patch Manager ist eine Alternative zur Verwendung vorhandener Yum-Workflows auf dem Knoten, um die Updates anzuwenden.

**Bevor Sie beginnen**  
Um mithilfe des Patch Manager Kernel-Live-Patches auf Ihre von Amazon Linux 2 verwalteten Knoten anzuwenden, stellen Sie sicher, dass Ihre Knoten auf der richtigen Architektur und Kernel-Version basieren. Weitere Informationen finden Sie unter [Unterstützte Konfigurationen und Voraussetzungen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-prereq) im *Amazon-EC2-Benutzerhandbuch*.

**Topics**
+ [

## Kernel Live Patching mit Patch Manager verwenden
](#about-klp)
+ [

## So funktioniert Patch Manager mit Kernel Live Patching
](#how-klp-works)
+ [

# Aktivieren von Kernel Live Patching mit Run Command
](enable-klp.md)
+ [

# Anwenden von Kernel-Live-Patches unter Verwendung von Run Command
](install-klp.md)
+ [

# Deaktivieren von Kernel Live Patching mit Run Command
](disable-klp.md)

## Kernel Live Patching mit Patch Manager verwenden
<a name="about-klp"></a>

Aktualisieren der Kernel-Version  
Sie müssen einen verwalteten Knoten nicht neu starten, nachdem Sie ein Kernel-Live-Patch-Update angewendet haben. AWS Stellt jedoch Kernel-Live-Patches für eine Amazon Linux 2-Kernelversion für bis zu drei Monate nach ihrer Veröffentlichung bereit. Nach Ablauf der dreimonatigen Frist müssen Sie auf eine spätere Kernel-Version aktualisieren, um weiterhin Kernel-Live-Patches zu erhalten. Wir empfehlen Ihnen, mithilfe eines Wartungsfensters mindestens einmal alle drei Monate einen Neustart Ihres Knoten zu planen, um das Update der Kernel-Version zu veranlassen.

Deinstallieren von Kernel-Live-Patches  
Kernel-Live-Patches können nicht mit dem Patch Manager deinstalliert werden. Stattdessen können Sie Kernel Live Patching deaktivieren, wodurch die RPM-Pakete für die angewendeten Kernel-Live-Patches entfernt werden. Weitere Informationen finden Sie unter [Deaktivieren von Kernel Live Patching mit Run Command](disable-klp.md).

Kernel-Compliance  
In einigen Fällen kann der Kernel durch die Installation aller CVE-Fixes von Live-Patches für die aktuelle Kernel-Version die Compliance-Ebene erreichen, die auch eine neuere Kernel-Version hätte. Wenn dies geschieht, wird die neuere Version als `Installed` und der verwaltete Knoten als `Compliant` gemeldet. Für die neuere Kernel-Version wird jedoch keine Installationszeit gemeldet.

Ein Kernel-Live-Patch, mehrere CVEs  
Wenn ein Kernel-Live-Patch mehrere CVEs adressiert und diese unterschiedliche Klassifizierungs- und Schweregradwerte CVEs haben, CVEs wird für den Patch nur die höchste Klassifizierung und der höchste Schweregrad gemeldet. 

Im weiteren Teil dieses Abschnitts wird erläutert, wie Patch Manager zum Anwenden von Kernel-Live-Patches auf verwaltete Knoten verwendet wird, die diese Anforderungen erfüllen.

## So funktioniert Patch Manager mit Kernel Live Patching
<a name="how-klp-works"></a>

AWS veröffentlicht zwei Arten von Kernel-Live-Patches für Amazon Linux 2: Sicherheitsupdates und Bugfixes. Um diese Patch-Typen anzuwenden, verwenden Sie ein Patch-Baseline-Dokument, das nur auf die in der folgenden Tabelle aufgeführten Klassifizierungen und Schweregrade ausgerichtet ist.


| Klassifizierung | Schweregrad | 
| --- | --- | 
| Security | Critical, Important | 
| Bugfix | All | 

Sie können eine benutzerdefinierte Patch-Baseline erstellen, die nur auf diese Patches ausgerichtet ist, oder die vordefinierte Patch-Baseline `AWS-AmazonLinux2DefaultPatchBaseline` verwenden. Mit anderen Worten, Sie können `AWS-AmazonLinux2DefaultPatchBaseline` mit von Amazon Linux 2 verwalteten Knoten verwenden, auf denen Kernel Live Patching aktiviert ist, und es werden Kernel-Live-Updates angewendet.

**Anmerkung**  
Die `AWS-AmazonLinux2DefaultPatchBaseline`-Konfiguration hat eine Wartezeit von sieben Tagen nach Veröffentlichung oder letzten Aktualisierung eines Patches, bevor er automatisch installiert wird. Wenn Sie nicht sieben Tage warten möchten, bis Kernel-Live-Patches automatisch genehmigt werden, können Sie eine benutzerdefinierte Patch-Baseline erstellen und verwenden. In der Patch-Baseline können Sie keine Wartezeit für automatische Genehmigung oder einen kürzeren oder längeren Zeitraum angeben. Weitere Informationen finden Sie unter [Arbeiten mit benutzerdefinierten Patch-Baselines](patch-manager-manage-patch-baselines.md).

Wir empfehlen die folgende Strategie zum Patchen Ihrer verwalteten Knoten mit Kernel-Live-Updates:

1. Aktivieren Sie Kernel Live Patching auf Ihren von Amazon Linux 2 verwalteten Knoten.

1. Verwenden SieRun Command, ein Tool in AWS Systems Manager, um einen `Scan` Vorgang auf Ihren verwalteten Knoten unter Verwendung der vordefinierten `AWS-AmazonLinux2DefaultPatchBaseline` oder einer benutzerdefinierten Patch-Baseline auszuführen, die auch nur auf `Security` Updates abzielt, deren Schweregrad als `Critical` und und eingestuft ist`Important`, und dem `Bugfix` Schweregrad von`All`. 

1. Verwenden Sie Compliance, ein Tool in AWS Systems Manager, um zu überprüfen, ob für einen der verwalteten Knoten, die gescannt wurden, Verstöße wegen Patches gemeldet wurden. Wenn dies der Fall ist, zeigen Sie die Compliance-Details für den Knoten an, um festzustellen, ob Kernel-Live-Patches im verwalteten Knoten fehlen.

1. Um fehlende Kernel-Live-Patches zu installieren, verwenden Sie Run Command mit derselben Patch-Baseline, die Sie zuvor angegeben haben, führen Sie dieses Mal jedoch eine `Install`-Operation anstelle einer `Scan`-Operation aus.

   Da Kernel-Live-Patches installiert werden, ohne dass ein Neustart erforderlich ist, können Sie die Neustartoption `NoReboot` für diese Operation auswählen. 
**Anmerkung**  
Sie können den verwalteten Knoten dennoch neu starten, wenn dies für andere auf dem Knoten installierte Patch-Typen erforderlich ist oder wenn Sie auf einen neueren Kernel aktualisieren möchten. Wählen Sie in diesen Fällen stattdessen die Neustartoption `RebootIfNeeded` aus.

1. Kehren Sie zu Compliance zurück, um zu überprüfen, ob die Kernel-Live-Patches installiert wurden.

# Aktivieren von Kernel Live Patching mit Run Command
<a name="enable-klp"></a>

Um Kernel Live Patching zu aktivieren, können Sie entweder `yum`-Befehle auf Ihren verwalteten Knoten ausführen oder Run Command und ein benutzerdefiniertes Systems-Manager-Dokument (SSM-Dokument) verwenden, das Sie erstellen.

Weitere Informationen zum Aktivieren von Kernel Live Patching durch Ausführen von `yum`-Befehlen direkt auf dem verwalteten Knoten finden Sie unter [Aktivieren von Kernel Live Patching](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-prereq) im *Benutzerhandbuch zu Amazon EC2*.

**Anmerkung**  
Wenn Sie Kernel-Live-Patching aktivieren und der bereits auf dem verwalteten Knoten ausgeführte Kernel eine *frühere* Version als `kernel-4.14.165-131.185.amzn2.x86_64` (die unterstützte Mindestversion) ist, installiert der Prozess die neueste verfügbare Kernel-Version und startet den verwalteten Knoten neu. Wenn der Knoten bereits `kernel-4.14.165-131.185.amzn2.x86_64` oder höher ausführt, installiert der Prozess keine neuere Version und startet den Knoten nicht neu.

**So aktivieren Sie Kernel Live Patching mit Run Command (Konsole)**

1. Öffnen Sie die AWS Systems Manager-Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Run Command** aus.

1. Wählen Sie **Befehl ausführen** aus.

1. Wählen Sie in der Liste **Command document (Befehlsdokument)** das benutzerdefinierte SSM-Dokument `AWS-ConfigureKernelLivePatching` aus.

1. Geben Sie im Abschnitt **Command parameters** (Befehlsparameter) an, ob verwaltete Knoten als Teil dieser Operation neu gestartet werden sollen.

1. Weitere Informationen zur Verwendung der übrigen Steuerelemente auf dieser Seite finden Sie unter [Ausführen von Befehlen über die Konsole](running-commands-console.md).

1. Wählen Sie **Ausführen** aus.

**Aktivieren von Kernel Live Patching (AWS CLI)**
+ Führen Sie den folgenden Befehl auf Ihrem lokalen Computer aus.

------
#### [ Linux & macOS ]

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureKernelLivePatching" \
      --parameters "EnableOrDisable=Enable" \
      --targets "Key=instanceids,Values=instance-id"
  ```

------
#### [ Windows Server ]

  ```
  aws ssm send-command ^
      --document-name "AWS-ConfigureKernelLivePatching" ^
      --parameters "EnableOrDisable=Enable" ^
      --targets "Key=instanceids,Values=instance-id"
  ```

------

  Ersetzen Sie *instance-id* durch die ID des von Amazon Linux 2 verwalteten Knoten, auf dem Sie das Feature aktivieren möchten, beispielsweise i-02573cafcfEXAMPLE. Um das Feature auf mehreren verwalteten Knoten zu aktivieren, können Sie eines der folgenden Formate verwenden.
  + `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
  + `--targets "Key=tag:tag-key,Values=tag-value"`

  Informationen über andere Optionen, die Sie in dem Befehl verwenden können, finden Sie im Abschnitt [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) in der *AWS CLI-Befehlsreferenz*.

# Anwenden von Kernel-Live-Patches unter Verwendung von Run Command
<a name="install-klp"></a>

Um Kernel-Live-Patches anzuwenden, können Sie entweder `yum`-Befehle auf Ihren verwalteten Knoten ausführen oder Run Command und das SSM-Dokument `AWS-RunPatchBaseline` verwenden. 

Weitere Informationen zum Anwenden von Kernel-Live-Patches durch Ausführung von `yum`-Befehlen direkt auf dem verwalteten Knoten finden Sie unter [Anwenden von Kernel-Live-Patches](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-apply) im *Benutzerhandbuch zu Amazon EC2*.

**So wenden Sie Kernel-Live-Patches unter Verwendung von Run Command an (Konsole)**

1. Öffnen Sie die AWS Systems Manager-Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Run Command** aus.

1. Wählen Sie **Befehl ausführen** aus.

1. Wählen Sie in der Liste **Command document (Befehlsdokument)** das SSM-Dokument `AWS-RunPatchBaseline` aus.

1. Führen Sie im Abschnitt **Command parameters (Befehlsparameter)** einen der folgenden Schritte aus:
   + Wenn Sie prüfen, ob neue Kernel-Live-Patches verfügbar sind, wählen Sie für **Operation** die Option `Scan` aus. Wenn Ihre verwalteten Knoten nach dieser Operation nicht neu gestartet werden sollen, wählen Sie für **Reboot Option** (Neustartoption) `NoReboot` aus. Nach Abschluss der Operation können Sie in Compliance prüfen, ob neue Patches vorhanden sind und wie der Compliance-Status lautet.
   + Wenn Sie die Patch-Compliance bereits überprüft haben und bereit sind, verfügbare Kernel-Live-Patches anzuwenden, wählen Sie für **Operation** die Option `Install` aus. Wenn Ihre verwalteten Knoten nach dieser Operation nicht neu gestartet werden sollen, wählen Sie für **Reboot Option** (Neustartoption) `NoReboot` aus.

1. Weitere Informationen zur Verwendung der übrigen Steuerelemente auf dieser Seite finden Sie unter [Ausführen von Befehlen über die Konsole](running-commands-console.md).

1. Wählen Sie **Ausführen** aus.

**So wenden Sie Kernel-Live-Patches unter Verwendung von Run Command an (AWS CLI)**

1. Führen Sie den folgenden Befehl von Ihrem lokalen Computer aus, um eine `Scan`-Operation auszuführen, bevor Sie Ihre Ergebnisse in Compliance überprüfen.

------
#### [ Linux & macOS ]

   ```
   aws ssm send-command \
       --document-name "AWS-RunPatchBaseline" \
       --targets "Key=InstanceIds,Values=instance-id" \
       --parameters '{"Operation":["Scan"],"RebootOption":["RebootIfNeeded"]}'
   ```

------
#### [ Windows Server ]

   ```
   aws ssm send-command ^
       --document-name "AWS-RunPatchBaseline" ^
       --targets "Key=InstanceIds,Values=instance-id" ^
       --parameters {\"Operation\":[\"Scan\"],\"RebootOption\":[\"RebootIfNeeded\"]}
   ```

------

   Informationen über andere Optionen, die Sie in dem Befehl verwenden können, finden Sie im Abschnitt [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) in der *AWS CLI-Befehlsreferenz*.

1. Führen Sie den folgenden Befehl von Ihrem lokalen Computer aus, um eine `Install`-Operation auszuführen, nachdem Sie die Ergebnisse in Compliance überprüft haben.

------
#### [ Linux & macOS ]

   ```
   aws ssm send-command \
       --document-name "AWS-RunPatchBaseline" \
       --targets "Key=InstanceIds,Values=instance-id" \
       --parameters '{"Operation":["Install"],"RebootOption":["NoReboot"]}'
   ```

------
#### [ Windows Server ]

   ```
   aws ssm send-command ^
       --document-name "AWS-RunPatchBaseline" ^
       --targets "Key=InstanceIds,Values=instance-id" ^
       --parameters {\"Operation\":[\"Install\"],\"RebootOption\":[\"NoReboot\"]}
   ```

------

Ersetzen Sie in den beiden vorangegangenen Befehlen *instance-id* durch die ID des von Amazon Linux 2 verwalteten Knoten, auf dem Sie Kernel-Live-Patches anwenden möchten, beispielsweise i-02573cafcfEXAMPLE. Um das Feature auf mehreren verwalteten Knoten zu aktivieren, können Sie eines der folgenden Formate verwenden.
+ `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
+ `--targets "Key=tag:tag-key,Values=tag-value"`

Informationen über andere Optionen, die Sie in diesen Befehlen verwenden können, finden Sie im Abschnitt [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) in der *AWS CLI-Befehlsreferenz*.

# Deaktivieren von Kernel Live Patching mit Run Command
<a name="disable-klp"></a>

Um Kernel Live Patching zu deaktivieren, können Sie entweder `yum`-Befehle auf Ihren verwalteten Knoten ausführen oder Run Command und das benutzerdefinierte SSM-Dokument `AWS-ConfigureKernelLivePatching`.

**Anmerkung**  
Wenn Sie das Kernel-Live-Patching nicht mehr verwenden möchten, können Sie es jederzeit deaktivieren. In den meisten Fällen ist das Deaktivieren des Features nicht erforderlich.

Weitere Informationen zum Deaktivieren von Kernel Live Patching durch Ausführen von `yum`-Befehlen direkt auf dem verwalteten Knoten finden Sie unter [Aktivieren von Kernel Live Patching](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-enable) im *Benutzerhandbuch zu Amazon EC2*.

**Anmerkung**  
Wenn Sie Kernel Live Patching deaktivieren, deinstalliert der Prozess das Kernel Live Patching-Plugin und startet dann den verwalteten Knoten neu.

**Deaktivieren von Kernel Live Patching mit Run Command (Konsole)**

1. Öffnen Sie die AWS Systems Manager-Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Run Command** aus.

1. Wählen Sie **Befehl ausführen** aus.

1. Wählen Sie in der Liste **Command document (Befehlsdokument)** das SSM-Dokument `AWS-ConfigureKernelLivePatching` aus.

1. Geben Sie im Abschnitt **Befehlsparameter** Werte für erforderliche Parameter an.

1. Weitere Informationen zur Verwendung der übrigen Steuerelemente auf dieser Seite finden Sie unter [Ausführen von Befehlen über die Konsole](running-commands-console.md).

1. Wählen Sie **Ausführen** aus.

**Deaktivieren von Kernel Live Patching (AWS CLI)**
+ Verwenden Sie einen Befehl ähnlich dem folgenden:

------
#### [ Linux & macOS ]

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureKernelLivePatching" \
      --targets "Key=instanceIds,Values=instance-id" \
      --parameters "EnableOrDisable=Disable"
  ```

------
#### [ Windows Server ]

  ```
  aws ssm send-command ^
      --document-name "AWS-ConfigureKernelLivePatching" ^
      --targets "Key=instanceIds,Values=instance-id" ^
      --parameters "EnableOrDisable=Disable"
  ```

------

  Ersetzen Sie *instance-id* durch die ID des von Amazon Linux 2 verwalteten Knoten, auf dem Sie das Feature deaktivieren möchten, beispielsweise i-02573cafcfEXAMPLE. Um das Feature auf mehreren verwalteten Knoten zu deaktivieren, können Sie eines der folgenden Formate verwenden.
  + `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
  + `--targets "Key=tag:tag-key,Values=tag-value"`

  Informationen über andere Optionen, die Sie in dem Befehl verwenden können, finden Sie im Abschnitt [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) in der *AWS CLI-Befehlsreferenz*.