Acerca de los grupos de revisiones

importante

Los grupos de revisiones no se usan en operaciones de aplicación de revisiones basadas en políticas de revisiones. Para obtener información sobre el uso de las políticas de revisiones, consulte Uso de políticas de revisiones de Quick Setup.

Puede utilizar un grupo de revisiones para asociar nodos administrados a una base de referencia de revisiones específica en Patch Manager, una capacidad de AWS Systems Manager. Los grupos de revisiones ayudan a garantizar que implementará las revisiones adecuadas al conjunto correcto de nodos en función de las reglas de base de referencia de revisiones asociadas. Los grupos de revisiones también pueden ayudarle a evitar la implementación de revisiones antes de que estos se hayan probado suficientemente. Por ejemplo, puede crear grupos de revisiones para diferentes entornos (como desarrollo, prueba y producción) y registrar cada grupo de revisiones en una línea de base de revisiones adecuada.

Cuando ejecuta AWS-RunPatchBaseline, puede tomar como objetivo nodos administrados mediante sus ID o etiquetas. Luego, SSM Agent y Patch Manager evalúan qué base de referencia de revisiones se utilizará en función del valor del grupo de revisiones que ha agregado al nodo administrado.

Puede crear un grupo de revisiones mediante etiquetas de Amazon Elastic Compute Cloud (Amazon EC2). A diferencia de otras situaciones de etiquetado en Systems Manager, un grupo de revisiones debe definirse con la clave de etiqueta Patch Group o PatchGroup. La clave distingue entre mayúsculas y minúsculas. Puede especificar cualquier valor que le ayude a identificar y destinar los recursos de ese grupo, por ejemplo, “servidores web” o “US-EAST-PROD”, pero la clave debe ser Patch Group o PatchGroup.

Después de crear un grupo de revisiones y etiquetar nodos administrados, puede registrar el grupo de revisiones con una base de referencia de revisiones. Registrar el grupo de revisiones en una base de referencia de revisiones garantiza que los nodos del grupo de revisiones utilicen las reglas definidas en la base de referencia de revisiones asociada.

Para obtener más información acerca de cómo crear un grupo de revisiones y asociarlo a una línea de base de revisiones, consulte Trabajo con grupos de revisiones y Agregar un grupo de revisiones a una línea de base de revisiones.

Para ver un ejemplo de cómo crear una línea de base de revisiones y grupos de revisiones mediante la AWS Command Line Interface (AWS CLI), consulte Tutorial: implementación de revisiones en un entorno de servidores (AWS CLI). Para obtener más información sobre las etiquetas de Amazon EC2, consulte Etiquetado de los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

Funcionamiento

Cuando el sistema ejecuta la tarea para aplicar una base de referencia de revisiones a un nodo administrado, SSM Agent verifica si se ha definido un valor de grupo de revisiones para el nodo. Si se asigna el nodo a un grupo de revisiones, Patch Manager comprueba qué base de referencia de revisiones está registrada en ese grupo. Si se encuentra una línea de base de revisiones para ese grupo, Patch Manager indica a SSM Agent que utilice la línea de base de revisiones asociada. Si un nodo no está configurado para un grupo de revisiones, Patch Manager indica automáticamente a SSM Agent que debe utilizar la base de referencia de revisiones predeterminada que se encuentra configurada en la actualidad.

importante

Un nodo administrado solo puede estar en un grupo de revisiones.

Un grupo de revisiones puede registrarse con solo una línea de base de revisiones para cada tipo de sistema operativo.

Puede aplicar la etiqueta Patch Group (con un espacio) a una instancia de Amazon EC2 si la opción Allow tags in instance metadata (Permitir etiquetas en los metadatos de la instancia) no puede estar habilitada en la instancia. Al permitir etiquetas en los metadatos de la instancia, se impide que los nombres de las claves de las etiquetas contengan espacios. Si tiene etiquetas permitidas en metadatos de instancias de EC2, debe usar la clave de etiqueta PatchGroup (sin espacio).

En el siguiente diagrama, se muestra un ejemplo general de los procesos que Systems Manager lleva a cabo al enviar una tarea de Run Command a la flota de servidores a la que se aplicarán revisiones mediante Patch Manager. Se emplea un proceso similar cuando se ha configurado un periodo de mantenimiento para enviar un comando que aplique revisiones mediante Patch Manager.

En este ejemplo, tenemos tres grupos de instancias EC2 de Windows Server con las siguientes etiquetas aplicadas:

Grupo de instancias EC2 Etiquetas

Grupo de instancias EC2	Etiquetas
Grupo 1	`key=OS,value=Windows` `key=PatchGroup,value=DEV`
Grupo 2	`key=OS,value=Windows`
Grupo 3	`key=OS,value=Windows` `key=PatchGroup,value=QA`

Grupo 1

key=OS,value=Windows

key=PatchGroup,value=DEV

Grupo 2

key=OS,value=Windows

Grupo 3

key=OS,value=Windows

key=PatchGroup,value=QA

En este ejemplo, también tenemos estas dos líneas de base de revisiones de Windows Server:

ID de línea de base de revisiones	Predeterminado	Grupo de revisiones asociado
`pb-0123456789abcdef0`	Sí	`Default`
`pb-9876543210abcdef0`	No	`DEV`

Diagrama 1: ejemplo general de flujo de proceso de operaciones de aplicación de revisiones

En el siguiente diagrama, se muestra cómo Patch Manager determina qué líneas de base de revisiones usar en las operaciones de revisiones.

Diagrama que muestra cómo se determinan las líneas de base de revisiones cuando se realizan operaciones de aplicación de revisiones.

El proceso general de análisis o instalación de revisiones mediante Run Command, una capacidad de AWS Systems Manager, y Patch Manager es como se indica a continuación:

Envío de un comando para aplicar revisiones: utilice la consola de Systems Manager, el SDK, la AWS Command Line Interface (AWS CLI) o AWS Tools for Windows PowerShell para enviar una tarea de Run Command mediante el documento AWS-RunPatchBaseline. En el diagrama se muestra una tarea de Run Command para aplicar revisiones a instancias administradas al tomar como objetivo la etiqueta key=OS,value=Windows.
Determinación de la línea de base de revisiones: SSM Agent verifica las etiquetas de grupos de revisiones que se aplican a la instancia de EC2 y consulta a Patch Manager la línea de base de revisiones correspondiente.
- Coincidencia del valor de un grupo de revisiones asociado con una línea de base de revisiones:
  1. SSM Agent, que está instalado en instancias EC2 en el grupo uno, recibe el comando ejecutado en el paso 1 para empezar una operación de aplicación de revisiones. SSM Agent valida que las instancias EC2 tengan el valor de etiqueta DEV del grupo de revisiones aplicado y consulta a Patch Manager una línea de base de revisiones asociada.
  2. Patch Manager verifica que la línea de base de revisiones pb-9876543210abcdef0 tenga el grupo de revisiones DEV asociado y se lo notifica a SSM Agent.
  3. SSM Agent recupera una instantánea de la línea de base de revisiones desde Patch Manager en función de las reglas de aprobación y las excepciones configuradas en pb-9876543210abcdef0 y avanza al siguiente paso.
- La instancia no tiene una etiqueta de grupo de revisiones añadida:
  1. SSM Agent, que está instalado en instancias de EC2 en el grupo dos, recibe el comando ejecutado en el paso 1 para empezar una operación de aplicación de revisiones. SSM Agent valida que las instancias EC2 no tengan una etiqueta Patch Group o PatchGroup aplicada y, en consecuencia, SSM Agent consulta a Patch Manager la línea de base de revisiones de Windows predeterminada.
  2. Patch Manager verifica que la línea de base de revisiones de Windows Server predeterminada sea pb-0123456789abcdef0 y se lo notifica a SSM Agent.
  3. SSM Agent recupera una instantánea de la línea de base de revisiones desde Patch Manager en función de las reglas de aprobación y las excepciones configuradas en la línea de base de revisiones predeterminada pb-0123456789abcdef0 y avanza al siguiente paso.
- La línea de base de revisiones no tiene un valor de grupo de revisiones coincidente asociado:
  1. SSM Agent, que está instalado en instancias EC2 en el grupo tres, recibe el comando ejecutado en el paso 1 para empezar una operación de aplicación de revisiones. SSM Agent valida que las instancias EC2 tengan el valor de etiqueta QA del grupo de revisiones aplicado y consulta a Patch Manager una línea de base de revisiones asociada.
  2. Patch Manager no encuentra una línea de base de revisiones que tenga el grupo de revisiones QA asociado.
  3. Patch Manager indica a SSM Agent que debe usar la línea de base de revisiones de Windows predeterminada pb-0123456789abcdef0.
  4. SSM Agent recupera una instantánea de la línea de base de revisiones desde Patch Manager en función de las reglas de aprobación y las excepciones configuradas en la línea de base de revisiones predeterminada pb-0123456789abcdef0 y avanza al siguiente paso.
Análisis de detección de revisiones o instalación de revisiones: después de determinar la línea de base de revisiones adecuada que se va a utilizar, SSM Agent comienza el análisis de detección de revisiones o la instalación de revisiones en función del valor de operación especificado en el paso 1. las revisiones que se analizan o se instalan se determinan a partir de las reglas de aprobación y las excepciones de revisiones que están definidas en la instantánea de la línea de base de revisiones que Patch Manager proporciona.

Más información

Conocimiento de los valores del estado de conformidad de parches

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acerca de los formatos de nombre de paquete para listas de parches aprobados y rechazados

Acerca del uso de parches en aplicaciones publicadas por Microsoft en Windows Server