Úselo CreatePatchBaseline con un CLI - AWS SDKEjemplos de código

Hay más AWS SDK ejemplos disponibles en el GitHub repositorio de AWS Doc SDK Examples.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Úselo CreatePatchBaseline con un CLI

En los siguientes ejemplos de código se muestra cómo se utiliza CreatePatchBaseline.

CLI
AWS CLI

Ejemplo 1: creación de una línea de base de revisiones con aprobación automática

En el siguiente ejemplo de create-patch-baseline se crea una línea de base de revisiones para Windows Server que aprueba las revisiones de un entorno de producción siete días después de que Microsoft las publique.

aws ssm create-patch-baseline \
    --name "Windows-Production-Baseline-AutoApproval" \
    --operating-system "WINDOWS" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=MSRC_SEVERITY,Values=[Critical,Important,Moderate]},{Key=CLASSIFICATION,Values=[SecurityUpdates,Updates,UpdateRollups,CriticalUpdates]}]},ApproveAfterDays=7}]" \
    --description "Baseline containing all updates approved for Windows Server production systems"

Salida:

{
    "BaselineId": "pb-045f10b4f3EXAMPLE"
}

Ejemplo 2: creación de una línea de base de revisiones con una fecha límite de aprobación

En el siguiente ejemplo de create-patch-baseline se crea una línea de base de revisiones para Windows Server que aprueba todas las revisiones de un entorno de producción que se publicaron el 7 de julio del 2020 o antes.

aws ssm create-patch-baseline \
    --name "Windows-Production-Baseline-AutoApproval" \
    --operating-system "WINDOWS" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=MSRC_SEVERITY,Values=[Critical,Important,Moderate]},{Key=CLASSIFICATION,Values=[SecurityUpdates,Updates,UpdateRollups,CriticalUpdates]}]},ApproveUntilDate=2020-07-07}]" \
    --description "Baseline containing all updates approved for Windows Server production systems"

Salida:

{
    "BaselineId": "pb-045f10b4f3EXAMPLE"
}

Ejemplo 3: Para crear una línea base de parche con las reglas de aprobación almacenadas en un JSON archivo

En el siguiente ejemplo de create-patch-baseline se crea una línea de base de revisiones para Amazon Linux 2017.09 que aprueba las revisiones de un entorno de producción siete días después de su publicación, especifica las reglas de aprobación para la línea de base de revisiones y especifica un repositorio personalizado para las revisiones.

aws ssm create-patch-baseline \
    --cli-input-json file://my-amazon-linux-approval-rules-and-repo.json

Contenidos de my-amazon-linux-approval-rules-and-repo.json:

{
    "Name": "Amazon-Linux-2017.09-Production-Baseline",
    "Description": "My approval rules patch baseline for Amazon Linux 2017.09 instances",
    "OperatingSystem": "AMAZON_LINUX",
    "Tags": [
        {
            "Key": "Environment",
            "Value": "Production"
        }
    ],
    "ApprovalRules": {
        "PatchRules": [
            {
                "ApproveAfterDays": 7,
                "EnableNonSecurity": true,
                "PatchFilterGroup": {
                    "PatchFilters": [
                        {
                            "Key": "SEVERITY",
                            "Values": [
                                "Important",
                                "Critical"
                            ]
                        },
                        {
                            "Key": "CLASSIFICATION",
                            "Values": [
                                "Security",
                                "Bugfix"
                            ]
                        },
                        {
                            "Key": "PRODUCT",
                            "Values": [
                                "AmazonLinux2017.09"
                            ]
                        }
                    ]
                }
            }
        ]
    },
    "Sources": [
        {
            "Name": "My-AL2017.09",
            "Products": [
                "AmazonLinux2017.09"
            ],
            "Configuration": "[amzn-main] \nname=amzn-main-Base\nmirrorlist=http://repo./$awsregion./$awsdomain//$releasever/main/mirror.list //nmirrorlist_expire=300//nmetadata_expire=300 \npriority=10 \nfailovermethod=priority \nfastestmirror_enabled=0 \ngpgcheck=1 \ngpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-ga \nenabled=1 \nretries=3 \ntimeout=5\nreport_instanceid=yes"
        }
    ]
}

Ejemplo 4: creación de una línea de base de revisiones que especifica las revisiones aprobadas y rechazadas

En el siguiente ejemplo de create-patch-baseline se especifican de forma explícita las revisiones que se deben aprobar y rechazar como excepción a las reglas de aprobación predeterminadas.

aws ssm create-patch-baseline \
    --name "Amazon-Linux-2017.09-Alpha-Baseline" \
    --description "My custom approve/reject patch baseline for Amazon Linux 2017.09 instances" \
    --operating-system "AMAZON_LINUX" \
    --approved-patches "CVE-2018-1234567,example-pkg-EE-2018*.amzn1.noarch" \
    --approved-patches-compliance-level "HIGH" \
    --approved-patches-enable-non-security \
    --tags "Key=Environment,Value=Alpha"

Para obtener más información, consulte Creación de una línea de base de revisiones personalizada en la Guía del usuario de AWS Systems Manager.

  • Para API obtener más información, consulte CreatePatchBaselinela Referencia de AWS CLI comandos.

PowerShell
Herramientas para PowerShell

Ejemplo 1: en este ejemplo se crea una línea de base de revisiones que aprueba las revisiones siete días después de que Microsoft las publique, para las instancias administradas que ejecutan Windows Server 2019 en un entorno de producción.

$rule = New-Object Amazon.SimpleSystemsManagement.Model.PatchRule
$rule.ApproveAfterDays = 7

$ruleFilters = New-Object Amazon.SimpleSystemsManagement.Model.PatchFilterGroup

$patchFilter = New-Object Amazon.SimpleSystemsManagement.Model.PatchFilter
$patchFilter.Key="PRODUCT"
$patchFilter.Values="WindowsServer2019"

$severityFilter = New-Object Amazon.SimpleSystemsManagement.Model.PatchFilter
$severityFilter.Key="MSRC_SEVERITY"
$severityFilter.Values.Add("Critical")
$severityFilter.Values.Add("Important")
$severityFilter.Values.Add("Moderate")

$classificationFilter = New-Object Amazon.SimpleSystemsManagement.Model.PatchFilter
$classificationFilter.Key = "CLASSIFICATION"
$classificationFilter.Values.Add( "SecurityUpdates" )
$classificationFilter.Values.Add( "Updates" )
$classificationFilter.Values.Add( "UpdateRollups" )
$classificationFilter.Values.Add( "CriticalUpdates" )

$ruleFilters.PatchFilters.Add($severityFilter)
$ruleFilters.PatchFilters.Add($classificationFilter)
$ruleFilters.PatchFilters.Add($patchFilter)
$rule.PatchFilterGroup = $ruleFilters

New-SSMPatchBaseline -Name "Production-Baseline-Windows2019" -Description "Baseline containing all updates approved for production systems" -ApprovalRules_PatchRule $rule

Salida:

pb-0z4z6221c4296b23z

  • Para API obtener más información, consulte CreatePatchBaselinela referencia de AWS Tools for PowerShell cmdlets.