Patching für Instanzen in einer Organisation konfigurieren - AWS Systems Manager
Unterstützte Regionen für Patch-RichtlinienkonfigurationenBerechtigungen für den S3-Bucket mit der Patch-RichtlinieZufällige Patch-Basislinie IDs bei Vorgängen mit Patch-RichtlinienErstellen einer Patch-Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Patching für Instanzen in einer Organisation konfigurieren

Mit Quick Setup der Funktion von können Sie Patch-Richtlinien erstellen AWS Systems Manager, die auf folgenden Komponenten basieren: Patch Manager Eine Patch-Richtlinie definiert den Zeitplan und die Baseline, die beim automatischen Patchen Ihrer Amazon Elastic Compute Cloud (AmazonEC2) -Instances und anderer verwalteter Knoten verwendet werden sollen. Mit einer einzelnen Patch-Richtlinienkonfiguration können Sie Patches für alle Konten in mehreren AWS-Regionen in Ihrer Organisation, nur für die von Ihnen ausgewählten Konten und Regionen oder für ein einzelnes Konto-Region-Paar definieren. Weitere Informationen zu Patch-Richtlinien finden Sie unter Patch-Richtlinienkonfigurationen in Quick Setup.

Voraussetzung

Um eine Patch-Richtlinie für einen Knoten mit Quick Setup zu definieren, muss es sich bei dem Knoten um einen verwalteten Knoten handeln. Weitere Informationen zum Verwalten Ihrer Knoten finden Sie unter Einrichten AWS Systems Manager.

Wichtig

Scanmethoden für Patch-Konformität — Systems Manager unterstützt mehrere Methoden zum Scannen verwalteter Knoten auf Patch-Konformität. Wenn Sie mehr als eine dieser Methoden gleichzeitig implementieren, sind die angezeigten Patch-Compliance-Informationen immer das Ergebnis des letzten Scans. Ergebnisse früherer Scans werden überschrieben. Wenn die Scan-Methoden unterschiedliche Patch-Baselines mit unterschiedlichen Genehmigungsregeln verwenden, können sich die Informationen zur Patch-Compliance unerwartet ändern. Weitere Informationen finden Sie unter Vermeiden von unbeabsichtigtem Überschreiben von Patch-Compliance-Daten.

Zuordnungs-Compliance-Status und Patch-Richtlinien — Der Patching-Status für einen verwalteten Knoten, für den eine Quick Setup Patch-Richtlinie gilt, entspricht dem Status der State Manager Zuordnungsausführung für diesen Knoten. Wenn der Status der Zuordnungsausführung lautetCompliant, wird der Patching-Status für den verwalteten Knoten ebenfalls markiert. Compliant Wenn der Ausführungsstatus der Assoziation lautetNon-Compliant, wird der Patching-Status für den verwalteten Knoten ebenfalls markiert. Non-Compliant

Unterstützte Regionen für Patch-Richtlinienkonfigurationen

Patch-Richtlinien-Konfigurationen in Quick Setup werden derzeit in den folgenden Regionen unterstützt:

  • USA Ost (Ohio): (us-east-2)

  • USA Ost (Nord-Virginia): (us-east-1)

  • USA West (Nordkalifornien) (us-west-1)

  • USA West (Oregon): (us-west-2)

  • Asien-Pazifik (Mumbai): (ap-south-1)

  • Asien-Pazifik (Seoul): (ap-northeast-2)

  • Asien-Pazifik (Singapur): (ap-southeast-1)

  • Asien-Pazifik (Sydney): (ap-southeast-2)

  • Asien-Pazifik (Tokyo) (ap-northeast-1)

  • Kanada (Zentral): (ca-central-1)

  • Europa (Frankfurt) (eu-central-1)

  • Europa (Irland) (eu-west-1)

  • Europa (London) (eu-west-2)

  • Europa (Paris) (eu-west-3)

  • Europa (Stockholm) (eu-north-1)

  • Südamerika (São Paulo) (sa-east-1)

Berechtigungen für den S3-Bucket mit der Patch-Richtlinie

Wenn Sie eine Patch-Richtlinie erstellen, erstellt Quick Setup einen Amazon-S3 Bucket, der eine Datei mit dem Namen baseline_overrides.json enthält. In dieser Datei werden Informationen zu den Patch-Baselines gespeichert, die Sie für Ihre Patch-Richtlinie angegeben haben.

Der S3-Bucket-Name hat das folgende Format aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id.

Zum Beispiel: aws-quicksetup-patchpolicy-123456789012-abcde

Wenn Sie eine Patch-Richtlinie für eine Organisation erstellen, wird der Bucket im Verwaltungskonto Ihrer Organisation erstellt.

Es gibt zwei Anwendungsfälle, in denen Sie anderen AWS Ressourcen mithilfe von AWS Identity and Access Management (IAM) -Richtlinien die Erlaubnis erteilen müssen, auf diesen S3-Bucket zuzugreifen:

Die Richtlinien für die Berechtigungen, die Sie in beiden Fällen benötigen, finden Sie im folgenden Abschnitt, Richtlinienberechtigungen für Quick Setup-S3-Buckets.

Fall 1: Verwenden Sie Ihr eigenes Instance-Profil oder Ihre eigene Servicerolle mit Ihren verwalteten Knoten, anstatt eines von Quick Setup bereitgestellten

Zu den Konfigurationen der Patch-Richtlinien gehört die Option, erforderliche IAM Richtlinien zu vorhandenen Instanzprofilen hinzuzufügen, die an Ihre Instances angehängt sind.

Wenn Sie diese Option nicht wählen, aber möchten, dass Quick Setup Ihre verwalteten Knoten mit dieser Richtlinie patcht, müssen Sie sicherstellen, dass Folgendes implementiert ist:

  • Die IAM verwaltete Richtlinie AmazonSSMManagedInstanceCore muss an das IAMInstanzprofil oder die IAMServicerolle angehängt werden, die verwendet wird, um Systems Manager Manager-Berechtigungen für Ihre verwalteten Knoten bereitzustellen.

  • Sie müssen dem IAM Instanzprofil oder der IAM Servicerolle Berechtigungen für den Zugriff auf Ihren Patch-Policy-Bucket als Inline-Richtlinie hinzufügen. Sie können Wildcard-Zugriff auf alle aws-quicksetup-patchpolicy-Buckets oder nur auf den spezifischen Bucket gewähren, der für Ihre Organisation oder Ihr Konto erstellt wurde, wie in den früheren Codebeispielen gezeigt.

  • Sie müssen Ihr IAM Instanzprofil oder Ihre IAM Servicerolle mit dem folgenden Schlüssel-Wert-Paar kennzeichnen.

    Key: QSConfigId-quick-setup-configuration-id, Value: quick-setup-configuration-id

    quick-setup-configuration-id stellt den Wert des Parameters dar, der auf den AWS CloudFormation Stack angewendet wird und der bei der Erstellung Ihrer Patch-Richtlinienkonfiguration verwendet wird. Gehen Sie wie nachfolgend beschrieben vor, um diese ID abzurufen:

    1. Öffnen Sie die AWS CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

    2. Wählen Sie den Namen des Stacks aus, der zur Erstellung Ihrer Patch-Richtlinie verwendet wird. Der Name hat ein Format wie StackSet-AWS-QuickSetup-PatchPolicy-LA-q4bkg-52cd2f06-d0f9-499e-9818-d887cEXAMPLE.

    3. Wählen Sie die Registerkarte Parameters aus.

    4. Suchen Sie in der Parameterliste in der Spalte Schlüssel nach dem Schlüssel. QSConfigurationId Suchen Sie in der Spalte Wert für die entsprechende Zeile nach der Konfigurations-ID, z. B. abcde

      In diesem Beispiel lautet der Schlüssel für das Tag, das auf Ihr Instance-Profil oder Ihre Servicerolle angewendet werden soll QSConfigId-abcde, und der Wert lautet abcde.

Informationen zum Hinzufügen von Tags zu einer IAM Rolle finden Sie unter IAMRollen taggen und Tags in Instanzprofilen (AWS CLI oder AWS API) verwalten im IAMBenutzerhandbuch.

Fall 2: Verwenden Sie VPC Endpunkte, um eine Verbindung zu Systems Manager herzustellen

Wenn Sie VPC Endpunkte verwenden, um eine Verbindung zu Systems Manager herzustellen, muss Ihre VPC Endpunktrichtlinie für S3 den Zugriff auf Ihren S3-Bucket für Quick Setup Patchrichtlinien zulassen.

Informationen zum Hinzufügen von Berechtigungen zu einer VPC Endpunktrichtlinie für S3 finden Sie unter Steuern des Zugriffs von VPC Endpunkten aus mit Bucket-Richtlinien im Amazon S3 S3-Benutzerhandbuch.

Richtlinienberechtigungen für Quick Setup-S3-Buckets

Sie können Wildcard-Zugriff auf alle aws-quicksetup-patchpolicy-Buckets oder nur auf den speziellen Bucket gewähren, der für Ihre Organisation oder Ihr Konto erstellt wurde. Verwenden Sie eines der beiden Formate, um die erforderlichen Berechtigungen für die beiden unten beschriebenen Fälle bereitzustellen.

All patch policy buckets
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessToAllPatchPolicyRelatedBuckets",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-*"
    }
  ]
}
Specific patch policy bucket
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessToMyPatchPolicyRelatedBucket",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id"Footnote callout 1 to explain a line in a JSON policy
    }
  ]
}

1 Nachdem die Konfiguration der Patch-Richtlinie erstellt wurde, können Sie den vollständigen Namen Ihres Buckets in der S3-Konsole finden. Zum Beispiel: aws-quicksetup-patchpolicy-123456789012-abcde

Zufällige Patch-Basislinie IDs bei Vorgängen mit Patch-Richtlinien

Bei Patchvorgängen für Patch-Richtlinien BaselineOverride wird der Parameter im AWS-RunPatchBaseline SSM Command-Dokument verwendet.

Wenn Sie AWS-RunPatchBaseline zum Patchen außerhalb einer Patch-Richtlinie verwenden, können Sie mit BaselineOverride eine Liste von Patch-Baselines angeben, die während des Vorgangs verwendet werden sollen und sich von den angegebenen Standardwerten unterscheiden. Sie erstellen diese Liste in einer Datei mit dem Namen baseline_overrides.json und fügen sie manuell zu einem Amazon-S3-Bucket hinzu, den Sie besitzen, wie in Verwenden des BaselineOverride Parameters erklärt.

Für Patching-Operationen, die auf Patch-Richtlinien basieren, erstellt Systems Manager jedoch automatisch ein S3 Bucket und fügt diesem eine baseline_overrides.json-Datei hinzu. Jedes Mal, wenn Quick Setup einen Patching-Vorgang durchführt (unter Verwendung der Run Command-Fähigkeit), erzeugt das System eine zufällige ID für jede Patch-Baseline. Diese ID ist für jeden Patch-Vorgang der Richtlinie unterschiedlich, und die Patch-Baseline, die sie repräsentiert, ist in Ihrem Konto weder gespeichert noch für Sie zugänglich.

Daher wird die ID der in Ihrer Konfiguration ausgewählten Patch-Baseline in den Patching-Protokollen nicht angezeigt. Dies gilt sowohl für AWS verwaltete Patch-Baselines als auch für benutzerdefinierte Patch-Baselines, die Sie möglicherweise ausgewählt haben. Die im Protokoll angegebene Baseline-ID ist stattdessen diejenige, die für diesen speziellen Patching-Vorgang erzeugt wurde.

Wenn Sie außerdem versuchen, in Patch Manager Details zu einer Patch-Baseline anzuzeigen, die mit einer zufälligen ID erstellt wurde, meldet das System, dass die Patch-Baseline nicht existiert. Dieses Verhalten ist zu erwarten und kann ignoriert werden.

Erstellen einer Patch-Richtlinie

Führen Sie zum Erstellen einer Patch-Richtlinie die folgenden Aufgaben in der Systems-Manager-Konsole aus.

So erstellen Sie eine Patch-Richtlinie mit Quick Setup

  1. Öffnen Sie die Konsole unter. AWS Systems Manager https://console.aws.amazon.com/systems-manager/

    Wenn Sie das Patchen für eine Organisation einrichten, stellen Sie sicher, dass Sie beim Verwaltungskonto der Organisation angemeldet sind. Sie können die Richtlinie nicht mit dem delegierten Administratorkonto oder einem Mitgliedskonto einrichten.

  2. Wählen Sie im Navigationsbereich Quick Setup aus.

  3. Wählen Sie auf der Karte Patch Manager (Patch-Manager) die Option Create (Erstellen) aus.

    Tipp

    Wenn Sie bereits eine oder mehrere Konfigurationen in Ihrem Konto haben, wählen Sie zunächst die Registerkarte Bibliothek oder die Schaltfläche Erstellen im Abschnitt Konfigurationen, um die Karten anzuzeigen.

  4. Geben Sie für Configuration name (Konfigurationsname) einen Namen ein, um die Patch-Richtlinie zu identifizieren.

  5. Wählen Sie im Abschnitt Scanning and installation (Scannen und Installation) unter Patch operation (Patching-Vorgang) aus, ob die Patch-Richtlinie die angegebenen Ziele Scan (Scannen) oder Patches auf den angegebenen Zielen Scan and install (Scannen und installieren) soll.

  6. Wählen Sie unter Scanning schedule (Scan-Zeitplan) die Option Use recommended defaults (Empfohlene Standardwerte verwenden) oder Custom scan schedule (Benutzerdefinierter Scan-Zeitplan) aus. Der standardmäßige Scan-Zeitplan scannt Ihre Ziele täglich um 1:00 UhrUTC.

    • Wenn Sie Custom scan schedule (Benutzerdefinierten Scan-Zeitplan) auswählen, wählen Sie die Scanning frequency (Scan-Frequenz) aus.

    • Wenn Sie Täglich wählen, geben Sie in das Feld die Uhrzeit einUTC, zu der Sie Ihre Ziele scannen möchten.

    • Wenn Sie Benutzerdefinierter CRON Ausdruck wählen, geben Sie den Zeitplan als CRONAusdruck ein. Weitere Informationen zur Formatierung von CRON Ausdrücken für Systems Manager finden Sie unterReferenz: Cron- und Rate-Ausdrücke für System Manager.

      Wählen Sie außerdem die Option Mit dem Scannen von Zielen bis zum ersten CRON Intervall warten. Standardmäßig scannt Patch Manager Knoten sofort, sobald diese zu Zielen werden.

  7. Wenn Sie Scan and install (Scannen und installieren) gewählt haben, wählen Sie den Installation schedule (Installationszeitplan) aus, der beim Installieren von Patches auf den angegebenen Zielen verwendet werden soll. Wenn Sie „Empfohlene Standardwerte verwenden“ wählen, Patch Manager werden wöchentliche Patches am Sonntag um 2:00 Uhr UTC installiert.

    • Wenn Sie Custom install schedule (Benutzerdefinierter Installationszeitplan) auswählen, wählen Sie die Installation Frequency (Installationsfrequenz).

    • Wenn Sie Täglich wählen, geben Sie die Uhrzeit ein, zu der Sie Updates auf Ihren Zielen installieren möchten. UTC

    • Wenn Sie Benutzerdefinierter CRON Ausdruck wählen, geben Sie den Zeitplan als CRONAusdruck ein. Weitere Informationen zur Formatierung von CRON Ausdrücken für Systems Manager finden Sie unterReferenz: Cron- und Rate-Ausdrücke für System Manager.

      Deaktivieren Sie außerdem die Option Mit der Installation von Updates bis zum ersten CRON Intervall warten, um Updates sofort auf den Knoten zu installieren, sobald diese zu Zielen werden. Patch ManagerWartet standardmäßig bis zum ersten CRON Intervall, um Updates zu installieren.

    • Wählen Sie Reboot if needed (Bei Bedarf neu starten), um die Knoten nach der Patch-Installation neu zu starten. Ein Neustart nach der Installation wird empfohlen, kann jedoch zu Verfügbarkeitsproblemen führen.

  8. Wählen Sie im Abschnitt Patch baseline (Patch-Baseline) die Patch-Baselines aus, die beim Scannen und Aktualisieren Ihrer Ziele verwendet werden sollen.

    Patch Manager verwendet standardmäßig die vordefinierten Patch-Baselines. Weitere Informationen finden Sie unter Vordefinierte Baselines.

    Wenn Sie Benutzerdefinierte Patch-Baseline wählen, ändern Sie die ausgewählte Patch-Baseline für Betriebssysteme, für die Sie keine vordefinierte AWS Patch-Baseline verwenden möchten.

    Anmerkung

    Wenn Sie VPC Endpunkte verwenden, um eine Verbindung zu Systems Manager herzustellen, stellen Sie sicher, dass Ihre VPC Endpunktrichtlinie für S3 den Zugriff auf diesen S3-Bucket zulässt. Weitere Informationen finden Sie unter Berechtigungen für den S3-Bucket mit der Patch-Richtlinie.

    Wichtig

    Wenn Sie eine Patch-Richtlinienkonfiguration in Quick Setup verwenden, werden Aktualisierungen, die Sie an benutzerdefinierten Patch-Baselines vornehmen, einmal pro Stunde mit Quick Setup synchronisiert.

    Wenn eine benutzerdefinierte Patch-Baseline gelöscht wird, auf die in einer Patch-Richtlinie verwiesen wurde, wird auf der Seite mit den Quick Setup-Configuration details (Konfigurationsdetails) ein Banner für Ihre Patch-Richtlinie angezeigt. Das Banner informiert Sie darüber, dass die Patch-Richtlinie auf eine nicht mehr vorhandene Patch-Baseline verweist und nachfolgende Patching-Vorgänge fehlschlagen werden. Kehren Sie in diesem Fall zur Seite Quick Setup-Configurations (Konfigurationen) zurück, wählen Sie die Patch Manager-Konfiguration aus und wählen Sie Actions (Aktionen), Edit configuration (Konfiguration bearbeiten). Der Name der gelöschten Patch-Baseline wird hervorgehoben, und Sie müssen eine neue Patch-Baseline für das betroffene Betriebssystem auswählen.

  9. (Optional) Wählen Sie im Abschnitt Patching log storage (Patching-Protokollspeicherung) die Option Write output to S3 bucket (Ausgabe in S3-Bucket schreiben) aus, um Patch-Vorgangsprotokolle in einem Amazon-S3-Bucket zu speichern.

    Anmerkung

    Wenn Sie eine Patch-Richtlinie für eine Organisation einrichten, muss das Verwaltungskonto Ihrer Organisation mindestens über schreibgeschützte Berechtigungen für diesen Bucket verfügen. Alle in der Richtlinie enthaltenen Organisationseinheiten müssen über Schreibzugriff auf den Bucket verfügen. Informationen zum Gewähren von Bucket-Zugriff auf verschiedene Konten finden Sie unter Beispiel 2: Bucket-Besitzer, der kontoübergreifende Bucket-Berechtigungen gewährt im Benutzerhandbuch zu Amazon Simple Storage Service.

  10. Wählen Sie S3 durchsuchen, um den Bucket auszuwählen, in dem Sie die Patch-Protokoll-Ausgabe speichern möchten. Das Verwaltungskonto muss über Lesezugriff auf diesen Bucket verfügen. Alle Nicht-Verwaltungskonten und Ziele, die im Abschnitt Targets (Ziele) konfiguriert sind, müssen für die Protokollierung über Schreibzugriff auf den bereitgestellten S3-Bucket verfügen.

  11. Wählen Sie im Abschnitt Targets (Ziele) eine der folgenden Optionen aus, um die Konten und Regionen für diesen Patch-Richtlinienvorgang zu identifizieren.

    Anmerkung

    Wenn Sie mit einem einzigen Konto arbeiten, sind Optionen für die Arbeit mit Organisationen und Organisationseinheiten (OUs) nicht verfügbar. Sie können wählen, ob Sie diese Konfiguration auf alle AWS-Regionen in Ihrem Konto oder nur auf die von Ihnen ausgewählten Regionen anwenden möchten.

    Wenn Sie zuvor eine Heimatregion für Ihr Konto angegeben haben und das neue Quick Setup Konsolenerlebnis noch nicht genutzt haben, können Sie diese Region nicht aus der Targets-Konfiguration ausschließen.

    • Entire organization (Gesamte Organisation) – Alle Konten und Regionen in Ihrer Organisation.

    • Benutzerdefiniert — Nur die Regionen OUs und Regionen, die Sie angeben.

      • Wählen Sie im OUs Bereich Ziel den OUs Ort aus, an dem Sie die Patch-Richtlinie einrichten möchten.

      • Wählen Sie im Abschnitt Target Regions (Zielregionen) die Regionen aus, in denen Sie die Patch-Richtlinie anwenden möchten.

    • Current account (Aktuelles Konto) – Nur die Regionen, die Sie in dem Konto angeben, bei dem Sie derzeit angemeldet sind, werden als Ziel ausgewählt. Wählen Sie eine der folgenden Optionen aus:

      • Current Region (Aktuelle Region) – Nur verwaltete Knoten in der Region, die in der Konsole ausgewählt wurde, werden als Ziel ausgewählt.

      • Choose Regions (Regionen auswählen) – Wählen Sie die einzelnen Regionen aus, auf die die Patch-Richtlinie angewendet werden soll.

  12. Wählen Sie unter Choose how you want to target instances (Wählen Sie, wie Sie Instances anvisieren möchten) eine der folgenden Möglichkeiten, um die Knoten zu identifizieren, die gepatcht werden sollen:

    • Alle verwalteten Knoten — Alle verwalteten Knoten in den ausgewählten OUs und Regionen.

    • Specify the resource group (Angabe der Ressourcengruppe) – Wählen Sie den Namen einer Ressourcengruppe aus der Liste, um die ihr zugeordneten Ressourcen anzuvisieren.

      Anmerkung

      Derzeit wird die Auswahl von Ressourcengruppen nur für Einzelkontokonfigurationen unterstützt. Um Ressourcen in mehreren Konten zu patchen, wählen Sie eine andere Zieloption.

    • Specify a node tag (Angabe eines Knoten-Tags) – Nur Knoten, die mit dem von Ihnen angegebenen Schlüssel-Wert-Paar gekennzeichnet sind, werden in allen von Ihnen ausgewählten Konten und Regionen gepatcht.

    • Manual (Manuell) – Wählen Sie verwaltete Knoten aus allen angegebenen Konten und Regionen manuell aus einer Liste aus.

      Anmerkung

      Diese Option unterstützt derzeit nur EC2 Amazon-Instances.

  13. Gehen Sie im Abschnitt Rate control (Ratensteuerung) wie folgt vor:

    • Geben Sie für Concurrency (Gleichzeitigkeit) eine Anzahl oder einen Prozentsatz von Knoten ein, auf denen die Patch-Richtlinie gleichzeitig ausgeführt werden soll.

    • Geben Sie für Error threshold (Fehlerschwellenwert) die Anzahl oder den Prozentsatz der Knoten ein, bei denen ein Fehler auftreten kann, bevor die Patch-Richtlinie fehlschlägt.

  14. (Optional) Aktivieren Sie das Kontrollkästchen Erforderliche IAM Richtlinien zu vorhandenen Instance-Profilen hinzufügen, die mit Ihren Instances verknüpft sind.

    Diese Auswahl wendet die mit dieser Quick Setup Konfiguration erstellten IAM Richtlinien auf Knoten an, denen bereits ein Instanzprofil (EC2Instanzen) oder eine Servicerolle (hybridaktivierte Knoten) zugewiesen ist. Wir empfehlen diese Auswahl, wenn Ihre verwalteten Knoten bereits über ein Instance-Profil oder eine Servicerolle verfügen, die jedoch nicht alle Berechtigungen enthalten, die für die Arbeit mit Systems Manager erforderlich sind.

    Ihre Auswahl hier wird auf verwaltete Knoten angewendet, die später in den Konten und Regionen erstellt werden, für die diese Patch-Richtlinienkonfiguration gilt.

    Wichtig

    Wenn Sie dieses Kontrollkästchen nicht aktivieren, aber möchten, dass Quick Setup Ihre verwalteten Knoten mit dieser Richtlinie patcht, müssen Sie Folgendes tun:

    Fügen Sie Ihrem IAMInstanzprofil oder Ihrer IAMServicerolle Berechtigungen hinzu, um auf den S3-Bucket zuzugreifen, der für Ihre Patch-Richtlinie erstellt wurde

    Kennzeichnen Sie Ihr IAM Instanzprofil oder Ihre IAM Servicerolle mit einem bestimmten Schlüssel-Wert-Paar.

    Weitere Informationen finden Sie unter Fall 1: Verwenden Sie Ihr eigenes Instance-Profil oder Ihre eigene Servicerolle mit Ihren verwalteten Knoten, anstatt eines von Quick Setup bereitgestellten.

  15. Wählen Sie Create (Erstellen) aus.

    Um den Patch-Status zu überprüfen, nachdem die Patch-Richtlinie erstellt wurde, können Sie über die Quick Setup-Seite auf die Konfiguration zugreifen.