Patch-Richtlinienkonfigurationen in Quick Setup - AWS Systems Manager
Hauptfeatures von Patch-RichtlinienWeitere Unterschiede bei Patch-RichtlinienAWS-Regionen wird für Patch-Richtlinien unterstützt

Patch-Richtlinienkonfigurationen in Quick Setup

AWS empfiehlt die Verwendung von Patch-Richtlinien zur Konfiguration von Patches für Ihr Unternehmen und AWS-Konten. Patch-Richtlinien wurden in Patch Manager im Dezember 2022 eingeführt.

Eine Patch-Richtlinie ist eine Konfiguration, die Sie mit Quick Setup, einer Funktion von AWS Systems Manager, einrichten. Patch-Richtlinien bieten eine umfassendere und zentralisiertere Kontrolle über Ihre Patching-Vorgänge, als dies mit früheren Methoden zum Konfigurieren von Patches möglich war. Patch-Richtlinien können mit allen von Patch Manager unterstützten Betriebssystemen verwendet werden, einschließlich unterstützter Versionen von Linux, macOS und Windows Server. Anweisungen zum Erstellen einer Patch-Richtlinie finden Sie unter Das Patchen für Instances in einer Organisation mithilfe von Quick Setup konfigurieren.

Hauptfeatures von Patch-Richtlinien

Anstatt andere Methoden zum Patchen Ihrer Knoten zu verwenden, verwenden Sie eine Patch-Richtlinie, um die Vorteile dieser Hauptfeatures zu nutzen:

  • Einzelkonfiguration – Das Einrichten von Patching-Vorgängen mithilfe eines Wartungsfensters oder einer State Manager-Zuordnung kann mehrere Aufgaben in verschiedenen Teilen der Systems-Manager-Konsole erfordern. Mithilfe einer Patch-Richtlinie können alle Ihre Patching-Vorgänge in einem einzigen Assistenten eingerichtet werden.

  • Unterstützung für mehrere Konten/mehrere Regionen – Mithilfe eines Wartungsfensters, einer State Manager-Zuordnung oder dem Feature Patch now (Jetzt patchen) in Patch Manager können Sie nur verwaltete Knoten in einem einzigen AWS-Konto-AWS-Region-Paar anvisieren. Wenn Sie mehrere Konten und mehrere Regionen verwenden, können Ihre Einrichtungs- und Wartungsaufgaben viel Zeit in Anspruch nehmen, da Sie Einrichtungsaufgaben in jedem Konto-Region-Paar durchführen müssen. Wenn Sie jedoch AWS Organizations verwenden, können Sie eine Patch-Richtlinie einrichten, die für alle Ihre verwalteten Knoten in allen AWS-Regionen in allen Ihren AWS-Konten gilt. Wenn Sie möchten, kann eine Patch-Richtlinie auch nur für bestimmte Organisationseinheiten (OEs) in den von Ihnen gewählten Konten und Regionen gelten. Eine Patch-Richtlinie kann auf Wunsch auch für ein einzelnes lokales Konto gelten.

  • Installationsunterstützung auf Organisationsebene – Die vorhandene Host-Management-Konfigurationsoption in Quick Setup bietetUnterstützung für einen täglichen Scan Ihrer verwalteten Knoten auf Patch-Compliance. Dieser Scan wird jedoch zu einem vorher festgelegten Zeitpunkt durchgeführt und liefert nur Patch-Compliance-Informationen. Es werden keine Patch-Installationen durchgeführt. Mithilfe einer Patch-Richtlinie können Sie unterschiedliche Zeitpläne für das Scannen und Installieren festlegen. Sie können auch die Häufigkeit und Zeit dieser Vorgänge auswählen, indem Sie benutzerdefinierte CRON- oder Rate-Ausdrücke verwenden. Sie könnten beispielsweise jeden Tag nach fehlenden Patches suchen, um regelmäßig aktualisierte Compliance-Informationen bereitzustellen. Ihr Installationsplan könnte jedoch nur einmal pro Woche sein, um unerwünschte Ausfallzeiten zu vermeiden.

  • Vereinfachte Auswahl von Patch-Baselines – Patch-Richtlinien enthalten weiterhin Patch-Baselines, und es gibt keine Änderungen an der Art und Weise, wie Patch-Baselines konfiguriert werden. Wenn Sie jedoch eine Patch-Richtlinie erstellen oder aktualisieren, können Sie die AWS-verwaltete oder benutzerdefinierte Baseline, die Sie für jeden Betriebssystemtyp (OS) verwenden möchten, in einer einzigen Liste auswählen. Es ist nicht erforderlich, die Standard-Baseline für jeden Betriebssystemtyp in separaten Aufgaben anzugeben.

Anmerkung

Wenn Patching-Vorgänge, die auf einer Patch-Richtlinie basieren, ausgeführt werden, verwenden diese das AWS-RunPatchBaseline-SSM-Dokument. Weitere Informationen finden Sie unter SSM-Befehlsdokument zum Patchen: AWS-RunPatchBaseline.

Ähnliche Informationen

Zentrales Bereitstellen von Patching-Vorgängen über Ihre AWS-Organisation hinweg mithilfe von Systems Manager Quick Setup (Blog zu AWS-Cloud-Operationen und -Migrationen)

Weitere Unterschiede bei Patch-Richtlinien

Hier sind einige weitere Unterschiede, die bei der Verwendung von Patch-Richtlinien anstelle der vorherigen Methoden zum Konfigurieren von Patches zu beachten sind:

  • Keine Patchgruppen erforderlich – Bei früheren Patching-Vorgängen konnten Sie mehrere Knoten so kennzeichnen, dass sie zu einer Patch-Gruppe gehören, und dann die Patch-Baseline angeben, die für diese Patch-Gruppe verwendet werden soll. Wenn keine Patch-Gruppe definiert wurde, patcht Patch Manager die Instances mit der aktuellen Standard-Patch-Baseline für den OS-Typ. Durch die Verwendung von Patch-Richtlinien ist es nicht mehr erforderlich, Patch-Gruppen einzurichten und zu verwalten.

  • Seite „Patching konfigurieren“ entfernt – Vor der Veröffentlichung von Patch-Richtlinien konnten Sie auf der Seite Configure patching (Patching konfigurieren) Standardwerte für die zu patchenden Knoten, einen Patch-Zeitplan und einen Patching-Vorgang angeben. Diese Seite wurde von Patch Manager entfernt. Diese Optionen werden jetzt in Patch-Richtlinien festgelegt.

  • Keine „Patch now“ (Jetzt patchen)-Unterstützung – Die Möglichkeit, Knoten bei Bedarf zu patchen, ist immer noch auf ein einzelnes AWS-Konto-AWS-Region-Paar gleichzeitig beschränkt. Weitere Informationen finden Sie unter On-Demand-Patchen von verwalteten Knoten.

  • Patch-Richtlinien und Compliance-Informationen – Wenn Ihre verwalteten Knoten gemäß einer Patching-Richtlinienkonfiguration auf Compliance gescannt werden, werden Ihnen Compliance-Daten zur Verfügung gestellt. Sie können die Daten auf die gleiche Weise wie bei anderen Methoden des Compliance-Scannens anzeigen und bearbeiten. Obwohl Sie eine Patch-Richtlinie für eine gesamte Organisation oder mehrere Organisationseinheiten einrichten können, werden Compliance-Informationen für jedes AWS-Konto-AWS-Region-Paar einzeln gemeldet. Weitere Informationen finden Sie unter Arbeiten mit Patch-Compliance-Berichten.

  • Konformitätsstatus der Zuordnungen und Patch-Richtlinien – Der Patching-Status für einen verwalteten Knoten, für den eine Quick Setup-Patch-Richtlinie gilt, entspricht dem Status der State Manager-Zuordnungsausführung für diesen Knoten. Wenn der Status der Zuordnungsausführung Compliant lautet, wird der Patching-Status für den verwalteten Knoten ebenfalls als Compliant markiert. Wenn der Status der Zuordnungsausführung Non-Compliant lautet, wird der Patching-Status für den verwalteten Knoten ebenfalls als Non-Compliant markiert.

AWS-Regionen wird für Patch-Richtlinien unterstützt

Patch-Richtlinien-Konfigurationen in Quick Setup werden derzeit in den folgenden Regionen unterstützt:

  • USA Ost (Ohio): (us-east-2)

  • USA Ost (Nord-Virginia): (us-east-1)

  • USA West (Nordkalifornien) (us-west-1)

  • USA West (Oregon): (us-west-2)

  • Asien-Pazifik (Mumbai): (ap-south-1)

  • Asien-Pazifik (Seoul): (ap-northeast-2)

  • Asien-Pazifik (Singapur): (ap-southeast-1)

  • Asien-Pazifik (Sydney): (ap-southeast-2)

  • Asien-Pazifik (Tokyo) (ap-northeast-1)

  • Kanada (Zentral): (ca-central-1)

  • Europa (Frankfurt) (eu-central-1)

  • Europa (Irland) (eu-west-1)

  • Europa (London) (eu-west-2)

  • Europa (Paris) (eu-west-3)

  • Europa (Stockholm) (eu-north-1)

  • Südamerika (São Paulo) (sa-east-1)