Konfigurieren Sie das Patching für Instanzen in einer Organisation mit Quick Setup - AWS Systems Manager
Unterstützte Regionen für Patch-RichtlinienkonfigurationenBerechtigungen für den S3-Bucket mit der Patch-RichtlinieZufällige Patch-Basislinie IDs bei Vorgängen mit Patch-RichtlinienErstellen einer Patch-Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie das Patching für Instanzen in einer Organisation mit Quick Setup

Mit Quick Setup, ein Tool in AWS Systems Manager, mit dem Sie Patch-Richtlinien erstellen können, die von Patch Manager. Eine Patch-Richtlinie definiert den Zeitplan und die Baseline, die beim automatischen Patchen Ihrer Amazon Elastic Compute Cloud (Amazon EC2) -Instances und anderer verwalteter Knoten verwendet werden sollen. Mit einer einzelnen Patch-Richtlinienkonfiguration können Sie Patches für alle Konten in mehreren AWS-Regionen in Ihrer Organisation, nur für die von Ihnen ausgewählten Konten und Regionen oder für ein einzelnes Konto-Region-Paar definieren. Weitere Informationen zu Patch-Richtlinien finden Sie unter Patch-Richtlinienkonfigurationen in Quick Setup.

Voraussetzung

Um eine Patch-Richtlinie für einen Knoten zu definieren, verwenden Sie Quick Setup, bei dem Knoten muss es sich um einen verwalteten Knoten handeln. Weitere Informationen zum Verwalten Ihrer Knoten finden Sie unter Einrichten der einheitlichen Systems-Manager-Konsole für eine Organisation.

Wichtig

Methoden zum Scannen der Patch-Compliance – Systems Manager unterstützt mehrere Methoden zum Scannen verwalteter Knoten auf Patch-Compliance. Wenn Sie mehr als eine dieser Methoden gleichzeitig implementieren, sind die angezeigten Patch-Compliance-Informationen immer das Ergebnis des letzten Scans. Ergebnisse früherer Scans werden überschrieben. Wenn die Scan-Methoden unterschiedliche Patch-Baselines mit unterschiedlichen Genehmigungsregeln verwenden, können sich die Informationen zur Patch-Compliance unerwartet ändern. Weitere Informationen finden Sie unter Vermeiden von unbeabsichtigtem Überschreiben von Patch-Compliance-Daten.

Konformitätsstatus der Assoziation und Patch-Richtlinien — Der Patching-Status für einen verwalteten Knoten, der sich unter einem Quick Setup Die Patch-Richtlinie entspricht dem Status von State Manager Ausführung der Assoziation für diesen Knoten. Wenn der Status der Zuordnungsausführung Compliant lautet, wird der Patching-Status für den verwalteten Knoten ebenfalls als Compliant markiert. Wenn der Status der Zuordnungsausführung Non-Compliant lautet, wird der Patching-Status für den verwalteten Knoten ebenfalls als Non-Compliant markiert.

Unterstützte Regionen für Patch-Richtlinienkonfigurationen

Patch-Richtlinienkonfigurationen in Quick Setup werden derzeit in den folgenden Regionen unterstützt:

  • USA Ost (Ohio): (us-east-2)

  • USA Ost (Nord-Virginia): (us-east-1)

  • USA West (Nordkalifornien) (us-west-1)

  • USA West (Oregon): (us-west-2)

  • Asien-Pazifik (Mumbai): (ap-south-1)

  • Asien-Pazifik (Seoul): (ap-northeast-2)

  • Asien-Pazifik (Singapur): (ap-southeast-1)

  • Asien-Pazifik (Sydney): (ap-southeast-2)

  • Asien-Pazifik (Tokyo) (ap-northeast-1)

  • Kanada (Zentral): (ca-central-1)

  • Europa (Frankfurt) (eu-central-1)

  • Europa (Irland) (eu-west-1)

  • Europa (London) (eu-west-2)

  • Europa (Paris) (eu-west-3)

  • Europa (Stockholm) (eu-north-1)

  • Südamerika (São Paulo) (sa-east-1)

Berechtigungen für den S3-Bucket mit der Patch-Richtlinie

Wenn Sie eine Patch-Richtlinie erstellen, Quick Setup erstellt einen Amazon S3 S3-Bucket, der eine Datei mit dem Namen enthältbaseline_overrides.json. In dieser Datei werden Informationen zu den Patch-Baselines gespeichert, die Sie für Ihre Patch-Richtlinie angegeben haben.

Der S3-Bucket-Name hat das folgende Format aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id.

Zum Beispiel: aws-quicksetup-patchpolicy-123456789012-abcde

Wenn Sie eine Patch-Richtlinie für eine Organisation erstellen, wird der Bucket im Verwaltungskonto Ihrer Organisation erstellt.

Es gibt zwei Anwendungsfälle, in denen Sie anderen AWS Ressourcen die Erlaubnis geben müssen, mithilfe von AWS Identity and Access Management (IAM-) Richtlinien auf diesen S3-Bucket zuzugreifen:

Die Richtlinien für die Berechtigungen, die Sie in beiden Fällen benötigen, finden Sie im folgenden Abschnitt, Richtlinienberechtigungen für Quick Setup S3-Buckets.

Fall 1: Verwenden Sie Ihr eigenes Instanzprofil oder Ihre eigene Servicerolle für Ihre verwalteten Knoten, anstatt eines von Quick Setup

Patch-Richtlinienkonfigurationen enthalten eine Option zum Hinzufügen erforderlicher IAM-Richtlinien zu bestehenden Instance-Profilen, die mit Ihren Instances verbunden sind.

Wenn Sie diese Option nicht wählen, aber möchten Quick Setup Um Ihre verwalteten Knoten mithilfe dieser Patch-Richtlinie zu patchen, müssen Sie sicherstellen, dass Folgendes implementiert ist:

  • Die von IAM verwaltete Richtlinie AmazonSSMManagedInstanceCore muss an das IAM-Instance-Profil oder die IAM-Servicerolle angehängt werden, die verwendet wird, um Systems-Manager-Berechtigungen für Ihre verwalteten Knoten bereitzustellen.

  • Sie müssen dem IAM-Instance-Profil oder der IAM-Servicerolle Berechtigungen für den Zugriff auf Ihren Patch-Richtlinien-Bucket als Inline-Richtlinie hinzufügen. Sie können Wildcard-Zugriff auf alle aws-quicksetup-patchpolicy-Buckets oder nur auf den spezifischen Bucket gewähren, der für Ihre Organisation oder Ihr Konto erstellt wurde, wie in den früheren Codebeispielen gezeigt.

  • Sie müssen Ihr IAM-Instance-Profil oder Ihre IAM-Servicerolle mit dem folgenden Schlüssel-Wert-Paar taggen.

    Key: QSConfigId-quick-setup-configuration-id, Value: quick-setup-configuration-id

    quick-setup-configuration-idstellt den Wert des Parameters dar, der auf den AWS CloudFormation Stack angewendet wird und der bei der Erstellung Ihrer Patch-Richtlinienkonfiguration verwendet wird. Gehen Sie wie nachfolgend beschrieben vor, um diese ID abzurufen:

    1. Öffnen Sie die AWS CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

    2. Wählen Sie den Namen des Stacks aus, der zur Erstellung Ihrer Patch-Richtlinie verwendet wird. Der Name hat ein Format wie StackSet-AWS-QuickSetup-PatchPolicy-LA-q4bkg-52cd2f06-d0f9-499e-9818-d887cEXAMPLE.

    3. Wählen Sie die Registerkarte Parameters aus.

    4. Suchen Sie in der Parameterliste in der Spalte Schlüssel nach der QSConfiguration Schlüssel-ID. Suchen Sie in der Spalte Wert für die entsprechende Zeile nach der Konfigurations-ID, z. B. abcde

      In diesem Beispiel lautet der Schlüssel für das Tag, das auf Ihr Instance-Profil oder Ihre Servicerolle angewendet werden soll QSConfigId-abcde, und der Wert lautet abcde.

Informationen zum Hinzufügen von Tags zu einer IAM-Rolle finden Sie unter Taggen von IAM-Rollen und Verwalten von Tags in Instanzprofilen (AWS CLI oder AWS APIs) im IAM-Benutzerhandbuch.

Fall 2: Verwenden Sie VPC-Endpunkte, um eine Verbindung zu Systems Manager herzustellen

Wenn Sie VPC-Endpunkte verwenden, um eine Verbindung zu Systems Manager herzustellen, muss Ihre VPC-Endpunktrichtlinie für S3 den Zugriff auf Ihre Quick Setup S3-Bucket für die Patch-Richtlinie.

Informationen zum Hinzufügen von Berechtigungen zu einer VPC-Endpunkt-Richtlinie für S3 finden Sie unter Steuerung des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien im Amazon S3-Benutzerhandbuch.

Richtlinienberechtigungen für Quick Setup S3-Buckets

Sie können Wildcard-Zugriff auf alle aws-quicksetup-patchpolicy-Buckets oder nur auf den speziellen Bucket gewähren, der für Ihre Organisation oder Ihr Konto erstellt wurde. Verwenden Sie eines der beiden Formate, um die erforderlichen Berechtigungen für die beiden unten beschriebenen Fälle bereitzustellen.

All patch policy buckets
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessToAllPatchPolicyRelatedBuckets",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-*"
    }
  ]
}
Specific patch policy bucket
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessToMyPatchPolicyRelatedBucket",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id"Footnote callout 1 to explain a line in a JSON policy
    }
  ]
}

1 Nachdem die Konfiguration der Patch-Richtlinie erstellt wurde, können Sie den vollständigen Namen Ihres Buckets in der S3-Konsole finden. Zum Beispiel: aws-quicksetup-patchpolicy-123456789012-abcde

Zufällige Patch-Basislinie IDs bei Vorgängen mit Patch-Richtlinien

Patching-Operationen für Patch-Richtlinien verwenden den BaselineOverride-Parameter im AWS-RunPatchBaseline-SSM-Befehlsdokument.

Wenn Sie AWS-RunPatchBaseline zum Patchen außerhalb einer Patch-Richtlinie verwenden, können Sie mit BaselineOverride eine Liste von Patch-Baselines angeben, die während des Vorgangs verwendet werden sollen und sich von den angegebenen Standardwerten unterscheiden. Sie erstellen diese Liste in einer Datei mit dem Namen baseline_overrides.json und fügen sie manuell zu einem Amazon-S3-Bucket hinzu, den Sie besitzen, wie in Verwenden des BaselineOverride -Parameters erklärt.

Für Patching-Operationen, die auf Patch-Richtlinien basieren, erstellt Systems Manager jedoch automatisch ein S3 Bucket und fügt diesem eine baseline_overrides.json-Datei hinzu. Dann jedes Mal Quick Setup führt einen Patch-Vorgang aus (unter Verwendung des Run Command Mit diesem Tool generiert das System für jede Patch-Baseline eine zufällige ID. Diese ID ist für jeden Patch-Vorgang der Richtlinie unterschiedlich, und die Patch-Baseline, die sie repräsentiert, ist in Ihrem Konto weder gespeichert noch für Sie zugänglich.

Daher wird die ID der in Ihrer Konfiguration ausgewählten Patch-Baseline in den Patching-Protokollen nicht angezeigt. Dies gilt sowohl für AWS verwaltete Patch-Baselines als auch für benutzerdefinierte Patch-Baselines, die Sie möglicherweise ausgewählt haben. Die im Protokoll angegebene Baseline-ID ist stattdessen diejenige, die für diesen speziellen Patching-Vorgang erzeugt wurde.

Darüber hinaus, wenn Sie versuchen, Details in Patch Manager Bei Informationen zu einer Patch-Baseline, die mit einer zufälligen ID generiert wurde, meldet das System, dass die Patch-Baseline nicht existiert. Dieses Verhalten ist zu erwarten und kann ignoriert werden.

Erstellen einer Patch-Richtlinie

Führen Sie zum Erstellen einer Patch-Richtlinie die folgenden Aufgaben in der Systems-Manager-Konsole aus.

Um eine Patch-Richtlinie zu erstellen mit Quick Setup

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

    Wenn Sie das Patchen für eine Organisation einrichten, stellen Sie sicher, dass Sie beim Verwaltungskonto der Organisation angemeldet sind. Sie können die Richtlinie nicht mit dem delegierten Administratorkonto oder einem Mitgliedskonto einrichten.

  2. Wählen Sie im Navigationsbereich Quick Setup.

  3. Wählen Sie auf der Karte Patch Manager (Patch-Manager) die Option Create (Erstellen) aus.

    Tipp

    Wenn Sie bereits eine oder mehrere Konfigurationen in Ihrem Konto haben, wählen Sie zunächst die Registerkarte Bibliothek oder die Schaltfläche Erstellen im Abschnitt Konfigurationen, um die Karten anzuzeigen.

  4. Geben Sie für Configuration name (Konfigurationsname) einen Namen ein, um die Patch-Richtlinie zu identifizieren.

  5. Wählen Sie im Abschnitt Scanning and installation (Scannen und Installation) unter Patch operation (Patching-Vorgang) aus, ob die Patch-Richtlinie die angegebenen Ziele Scan (Scannen) oder Patches auf den angegebenen Zielen Scan and install (Scannen und installieren) soll.

  6. Wählen Sie unter Scanning schedule (Scan-Zeitplan) die Option Use recommended defaults (Empfohlene Standardwerte verwenden) oder Custom scan schedule (Benutzerdefinierter Scan-Zeitplan) aus. Der standardmäßige Scan-Zeitplan scannt Ihre Ziele täglich um 01:00 Uhr UTC.

    • Wenn Sie Custom scan schedule (Benutzerdefinierten Scan-Zeitplan) auswählen, wählen Sie die Scanning frequency (Scan-Frequenz) aus.

    • Wenn Sie Daily (Täglich) auswählen, geben Sie die Zeit in UTC ein, zu der Sie Ihre Ziele scannen möchten.

    • Wenn Sie Custom CRON Expression (Benutzerdefinierter CRON-Ausdruck) wählen, geben Sie den Zeitplan als CRON expression (CRON-Ausdruck) ein. Weitere Informationen zum Formatieren von CRON-Ausdrücken für Systems Manager finden Sie unter Referenz: Cron- und Rate-Ausdrücke für System Manager.

      Wählen Sie außerdem Wait to scan targets until first CRON interval (Mit dem Scannen von Zielen bis zum ersten CRON-Intervall warten). Standardmäßig Patch Manager scannt Knoten sofort, wenn sie zu Zielen werden.

  7. Wenn Sie Scan and install (Scannen und installieren) gewählt haben, wählen Sie den Installation schedule (Installationszeitplan) aus, der beim Installieren von Patches auf den angegebenen Zielen verwendet werden soll. Wenn Sie die Option Empfohlene Standardwerte verwenden wählen, Patch Manager installiert wöchentliche Patches am Sonntag um 2:00 Uhr UTC.

    • Wenn Sie Custom install schedule (Benutzerdefinierter Installationszeitplan) auswählen, wählen Sie die Installation Frequency (Installationsfrequenz).

    • Wenn Sie Daily (Täglich) auswählen, geben Sie die Zeit in UTC ein, zu der Sie Updates auf Ihren Zielen installieren möchten.

    • Wenn Sie Custom CRON expression (Benutzerdefinierter CRON-Ausdruck) auswählen, geben Sie den Zeitplan als CRON expression (CRON-Ausdruck) ein. Weitere Informationen zum Formatieren von CRON-Ausdrücken für Systems Manager finden Sie unter Referenz: Cron- und Rate-Ausdrücke für System Manager.

      Deaktivieren Sie außerdem Wait to install updates until first CRON interval (Mit der Installation von Updates bis zum ersten CRON-Intervall warten), um Updates sofort auf Knoten zu installieren, sobald diese zu Zielen werden. Standardmäßig Patch Manager wartet mit der Installation von Updates bis zum ersten CRON-Intervall.

    • Wählen Sie Reboot if needed (Bei Bedarf neu starten), um die Knoten nach der Patch-Installation neu zu starten. Ein Neustart nach der Installation wird empfohlen, kann jedoch zu Verfügbarkeitsproblemen führen.

  8. Wählen Sie im Abschnitt Patch baseline (Patch-Baseline) die Patch-Baselines aus, die beim Scannen und Aktualisieren Ihrer Ziele verwendet werden sollen.

    Standardmäßig Patch Manager verwendet die vordefinierten Patch-Baselines. Weitere Informationen finden Sie unter Vordefinierte Baselines.

    Wenn Sie Benutzerdefinierte Patch-Baseline wählen, ändern Sie die ausgewählte Patch-Baseline für Betriebssysteme, für die Sie keine vordefinierte AWS Patch-Baseline verwenden möchten.

    Anmerkung

    Wenn Sie VPC-Endpunkte für die Verbindung zu Systems Manager verwenden, stellen Sie sicher, dass Ihre VPC-Endpunktrichtlinie für S3 den Zugriff auf diesen S3-Bucket zulässt. Weitere Informationen finden Sie unter Berechtigungen für den S3-Bucket mit der Patch-Richtlinie.

    Wichtig

    Wenn Sie eine Patchrichtlinien-Konfiguration in verwenden Quick Setup, werden Aktualisierungen, die Sie an benutzerdefinierten Patch-Baselines vornehmen, synchronisiert mit Quick Setup einmal pro Stunde.

    Wenn eine benutzerdefinierte Patch-Baseline gelöscht wird, auf die in einer Patch-Richtlinie verwiesen wurde, wird ein Banner auf der Quick Setup Seite mit den Konfigurationsdetails für Ihre Patch-Richtlinie. Das Banner informiert Sie darüber, dass die Patch-Richtlinie auf eine nicht mehr vorhandene Patch-Baseline verweist und nachfolgende Patching-Vorgänge fehlschlagen werden. Kehren Sie in diesem Fall zur Quick Setup Wählen Sie auf der Seite „Konfigurationen“ die Patch Manager Konfiguration und wählen Sie Aktionen, Konfiguration bearbeiten aus. Der Name der gelöschten Patch-Baseline wird hervorgehoben, und Sie müssen eine neue Patch-Baseline für das betroffene Betriebssystem auswählen.

  9. (Optional) Wählen Sie im Abschnitt Patching log storage (Patching-Protokollspeicherung) die Option Write output to S3 bucket (Ausgabe in S3-Bucket schreiben) aus, um Patch-Vorgangsprotokolle in einem Amazon-S3-Bucket zu speichern.

    Anmerkung

    Wenn Sie eine Patch-Richtlinie für eine Organisation einrichten, muss das Verwaltungskonto Ihrer Organisation mindestens über schreibgeschützte Berechtigungen für diesen Bucket verfügen. Alle in der Richtlinie enthaltenen Organisationseinheiten müssen über Schreibzugriff auf den Bucket verfügen. Informationen zum Gewähren von Bucket-Zugriff auf verschiedene Konten finden Sie unter Beispiel 2: Bucket-Besitzer, der kontoübergreifende Bucket-Berechtigungen gewährt im Benutzerhandbuch zu Amazon Simple Storage Service.

  10. Wählen Sie S3 durchsuchen, um den Bucket auszuwählen, in dem Sie die Patch-Protokoll-Ausgabe speichern möchten. Das Verwaltungskonto muss über Lesezugriff auf diesen Bucket verfügen. Alle Nicht-Verwaltungskonten und Ziele, die im Abschnitt Targets (Ziele) konfiguriert sind, müssen für die Protokollierung über Schreibzugriff auf den bereitgestellten S3-Bucket verfügen.

  11. Wählen Sie im Abschnitt Targets (Ziele) eine der folgenden Optionen aus, um die Konten und Regionen für diesen Patch-Richtlinienvorgang zu identifizieren.

    Anmerkung

    Wenn Sie mit einem einzigen Konto arbeiten, sind Optionen für die Arbeit mit Organisationen und Organisationseinheiten (OUs) nicht verfügbar. Sie können auswählen, ob Sie diese Konfiguration auf alle AWS-Regionen in Ihrem Konto oder nur auf die von Ihnen ausgewählten Regionen anwenden möchten.

    Wenn Sie zuvor eine Heimatregion für Ihr Konto angegeben haben und sich noch nicht für das neue Konto angemeldet haben Quick Setup Bei Konsolenerfahrung können Sie diese Region nicht aus der Targets-Konfiguration ausschließen.

    • Gesamte Organisation – Alle Konten und Regionen in Ihrer Organisation.

    • Benutzerdefiniert — Nur die Regionen OUs und Regionen, die Sie angeben.

      • Wählen Sie im OUs Bereich Ziel den OUs Ort aus, an dem Sie die Patch-Richtlinie einrichten möchten.

      • Wählen Sie im Abschnitt Target Regions (Zielregionen) die Regionen aus, in denen Sie die Patch-Richtlinie anwenden möchten.

    • Current account (Aktuelles Konto) – Nur die Regionen, die Sie in dem Konto angeben, bei dem Sie derzeit angemeldet sind, werden als Ziel ausgewählt. Wählen Sie eine der folgenden Optionen aus:

      • Current Region (Aktuelle Region) – Nur verwaltete Knoten in der Region, die in der Konsole ausgewählt wurde, werden als Ziel ausgewählt.

      • Choose Regions (Regionen auswählen) – Wählen Sie die einzelnen Regionen aus, auf die die Patch-Richtlinie angewendet werden soll.

  12. Wählen Sie unter Choose how you want to target instances (Wählen Sie, wie Sie Instances anvisieren möchten) eine der folgenden Möglichkeiten, um die Knoten zu identifizieren, die gepatcht werden sollen:

    • Alle verwalteten Knoten — Alle verwalteten Knoten in den ausgewählten OUs und Regionen.

    • Specify the resource group (Angabe der Ressourcengruppe) – Wählen Sie den Namen einer Ressourcengruppe aus der Liste, um die ihr zugeordneten Ressourcen anzuvisieren.

      Anmerkung

      Derzeit wird die Auswahl von Ressourcengruppen nur für Einzelkontokonfigurationen unterstützt. Um Ressourcen in mehreren Konten zu patchen, wählen Sie eine andere Zieloption.

    • Specify a node tag (Angabe eines Knoten-Tags) – Nur Knoten, die mit dem von Ihnen angegebenen Schlüssel-Wert-Paar gekennzeichnet sind, werden in allen von Ihnen ausgewählten Konten und Regionen gepatcht.

    • Manual (Manuell) – Wählen Sie verwaltete Knoten aus allen angegebenen Konten und Regionen manuell aus einer Liste aus.

      Anmerkung

      Diese Option unterstützt derzeit nur EC2 Amazon-Instances.

  13. Gehen Sie im Abschnitt Rate control (Ratensteuerung) wie folgt vor:

    • Geben Sie für Concurrency (Gleichzeitigkeit) eine Anzahl oder einen Prozentsatz von Knoten ein, auf denen die Patch-Richtlinie gleichzeitig ausgeführt werden soll.

    • Geben Sie für Error threshold (Fehlerschwellenwert) die Anzahl oder den Prozentsatz der Knoten ein, bei denen ein Fehler auftreten kann, bevor die Patch-Richtlinie fehlschlägt.

  14. (Optional) Aktivieren Sie das Kontrollkästchen Erforderliche IAM-Richtlinien zu bestehenden Instance-Profilen hinzufügen, die mit Ihren Instances verbunden sind.

    Diese Auswahl wendet die damit erstellten IAM-Richtlinien an Quick Setup Konfiguration für Knoten, denen bereits ein Instanzprofil (EC2 Instanzen) oder eine Servicerolle (hybridaktivierte Knoten) angehängt ist. Wir empfehlen diese Auswahl, wenn Ihre verwalteten Knoten bereits über ein Instance-Profil oder eine Servicerolle verfügen, die jedoch nicht alle Berechtigungen enthalten, die für die Arbeit mit Systems Manager erforderlich sind.

    Ihre Auswahl hier wird auf verwaltete Knoten angewendet, die später in den Konten und Regionen erstellt werden, für die diese Patch-Richtlinienkonfiguration gilt.

    Wichtig

    Wenn Sie dieses Kontrollkästchen nicht aktivieren, es aber möchten Quick Setup Um Ihre verwalteten Knoten mithilfe dieser Patch-Richtlinie zu patchen, müssen Sie wie folgt vorgehen:

    Fügen Sie Ihrem IAM-Instance-Profil oder Ihrer IAM-Servicerolle Berechtigungen für den Zugriff auf den S3-Bucket hinzu, der für Ihre Patch-Richtlinie erstellt wurde

    Taggen Sie Ihr IAM-Instance-Profil oder Ihre IAM-Servicerolle mit einem bestimmten Schlüssel-Wert-Paar.

    Weitere Informationen finden Sie unter Fall 1: Verwenden Sie Ihr eigenes Instanzprofil oder Ihre eigene Servicerolle für Ihre verwalteten Knoten, anstatt eines von Quick Setup.

  15. Wählen Sie Create (Erstellen) aus.

    Um den Patch-Status nach der Erstellung der Patch-Richtlinie zu überprüfen, können Sie auf die Konfiguration über Quick SetupSeite.