Requisitos previos de Patch Manager - AWS Systems Manager
Versión de SSM AgentVersión de PythonConectividad con la fuente de revisionesAcceso al punto de enlace de S3Permisos para instalar revisiones localmenteSistemas operativos admitidos por Patch Manager

Requisitos previos de Patch Manager

Asegúrese de que haya cumplido los requisitos previos necesarios antes de usar Patch Manager, una herramienta de AWS Systems Manager.

Versión de SSM Agent

La versión 2.0.834.0 o una versión posterior de SSM Agent debe ejecutarse en los nodos administrados que desee administrar con Patch Manager.

nota

Cada vez que se agregan herramientas nuevas a Systems Manager o se actualizan las herramientas existentes, se lanza una versión actualizada de SSM Agent. No utilizar la versión más reciente del agente puede impedir que el nodo administrado utilice diversas herramientas y características de Systems Manager. Por este motivo, se recomienda automatizar el proceso de mantener SSM Agent actualizado en los equipos. Para obtener más información, consulte Automatización de las actualizaciones de SSM Agent. Suscríbase a la página SSM Agent Release Notes en GitHub para recibir notificaciones sobre las actualizaciones de SSM Agent.

Versión de Python

En la actualidad, para macOS y la mayoría de los sistemas operativos (SO) Linux, Patch Manager es compatible con las versiones 2.6 a 3.10 de Python. Los sistemas operativos de AlmaLinux, Debian Server y Ubuntu Server requieren una versión compatible de Python 3 (3.0 a 3.10).

Conectividad con la fuente de revisiones

Si los nodos administrados no disponen de una conexión directa a Internet y utiliza una Amazon Virtual Private Cloud (Amazon VPC) con un punto de conexión de VPC, debe asegurarse de que los nodos tengan acceso a los repositorios (repos) de revisiones de origen. En los nodos de Linux, las actualizaciones de revisiones suelen descargarse de los repositorios remotos configurados en el nodo. Por lo tanto, el nodo debe poder conectarse a los repositorios para que puedan aplicarse las revisiones. Para obtener más información, consulte Cómo se seleccionan las revisiones de seguridad.

Windows Server: garantiza la conectividad al catálogo de Windows Update o a Windows Server Update Services (WSUS)

Los nodos administrados de Windows Server deben poder conectarse al catálogo de Windows Update o a Windows Server Update Services (WSUS). Confirme que los nodos cuentan con conectividad al catálogo de Microsoft Update a través de una puerta de enlace de Internet, una puerta de enlace NAT o una instancia NAT. Si utiliza WSUS, confirme que el nodo dispone de conectividad con el servidor WSUS de su entorno. Para obtener más información, consulte Asunto: el nodo administrado no tiene acceso al catálogo de Windows Update ni a WSUS.

Acceso al punto de enlace de S3

Tanto si los nodos administrados operan en una red privada como en una pública, sin tener acceso a los buckets requeridos de Amazon Simple Storage Service (Amazon S3) administrados por AWS, las operaciones de aplicación de revisiones pueden producir errores. Para obtener información acerca de los buckets de S3 a los que deben tener acceso los nodos administrados, consulte Comunicaciones de SSM Agent con buckets de S3 administrados de AWS y Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager.

Permisos para instalar revisiones localmente

En los sistemas operativos Windows Server y Linux, Patch Manager asume las cuentas de administrador y usuario raíz, respectivamente, para instalar las revisiones.

Sin embargo, en macOS, para Brew y Brew Cask, Homebrew no admite que sus comandos se ejecuten con la cuenta del usuario raíz. Como resultado, Patch Manager consulta y ejecuta los comandos de Homebrew como propietario del directorio de Homebrew o como usuario válido perteneciente al grupo de propietarios de ese directorio. Por lo tanto, para instalar las revisiones, el propietario del directorio homebrew también necesita permisos de propietario recursivos para el directorio /usr/local.

sugerencia

El siguiente comando proporciona este permiso al usuario especificado:

sudo chown -R $USER:admin /usr/local

Sistemas operativos admitidos por Patch Manager

Es posible que la herramienta Patch Manager no sea compatible con las mismas versiones de sistemas operativos que sí lo son con las demás herramientas de Systems Manager. (Para ver una lista completa de los sistemas operativos admitidos por Systems Manager, consulte Sistemas operativos compatibles con Systems Manager). Por lo tanto, asegúrese de que los nodos administrados que desea utilizar con Patch Manager ejecutan uno de los sistemas operativos que se muestran en la siguiente tabla.

nota

Patch Manager utiliza los repositorios de revisiones que estén configurados en un nodo administrado, como el Catálogo de Windows Update y Windows Server Update Services para Windows, para recuperar las revisiones disponibles que se deben instalar. Por lo tanto, para versiones del sistema operativo en el final de su vida útil (EOL), si no hay nuevas actualizaciones disponibles, es posible que Patch Manager no pueda informar sobre las nuevas actualizaciones. Esto puede deberse a que el responsable de la distribución de Linux, Microsoft o Apple no han publicado nuevas actualizaciones, o a que el nodo administrado no dispone de la licencia adecuada para acceder a las nuevas actualizaciones.

Patch Manager informa del estado de conformidad respecto de las revisiones disponibles en el nodo administrado. Por lo tanto, si en una instancia se está ejecutando un sistema operativo EOL y no hay actualizaciones disponibles, es posible que Patch Manager indique que el nodo es conforme, dependiendo de las líneas de base de revisiones configuradas para la operación de revisión.

Sistema operativo Detalles

Linux

  • AlmaLinux 8.x, 9.x

  • Amazon Linux 2 versión 2.0 y todas las versiones posteriores

  • Amazon Linux 2023

  • Debian Server 11.x y 12.x

  • Oracle Linux 7.5–8.x, 9.x

  • Red Hat Enterprise Linux (RHEL) 7.x–8.x, 9.x, 10.x

  • Rocky Linux 8.x, 9.x

  • Ubuntu Server 16.04 LTS, 18.04 LTS, 20.04 LTS, 22.04 LTS y 25.04
macOS

macOS solo es compatible con las instancias de Amazon EC2.

13.0-13.7 (Ventura)

14.x (Sonoma)

15.x (Sequoia)

Actualizaciones del sistema operativo macOS

Patch Manager no es compatible con actualizaciones ni mejoras del sistema operativo (SO) para macOS, tales como pasar de la versión 13.1 a la 13.2. Para realizar actualizaciones de la versión del SO macOS, se recomienda utilizar los mecanismos de actualización del SO integrados de Apple. Para obtener más información, consulte Device Management en el sitio web Apple Developer Documentation.

Compatibilidad con Homebrew

Patch Manager requiere que Homebrew, el sistema de administración de paquetes de software de código abierto, esté instalado en cualquiera de las siguientes ubicaciones de instalación predeterminadas:

  • /usr/local/bin

  • /opt/homebrew/bin

Las operaciones de revisión que utilizan Patch Manager no funcionan correctamente cuando Homebrew no está instalado.

Compatibilidad de regiones

macOS no se admite en todas las Regiones de AWS. Para obtener más información sobre la compatibilidad de Amazon EC2 con macOS, consulte Instancias de Mac de Amazon EC2 en la Guía del usuario de Amazon EC2.

Dispositivos periféricos de macOS

No se admite SSM Agent para los dispositivos de núcleo de AWS IoT Greengrass en macOS. No se puede utilizar Patch Manager para aplicar revisiones a dispositivos de borde de macOS.

Windows

De Windows Server 2012 a Windows Server 2025, incluidas las versiones R2.

nota

No se admite SSM Agent para los dispositivos de núcleo AWS IoT Greengrass en Windows 10. No se puede utilizar Patch Manager para aplicar revisiones a dispositivos de borde de Windows 10.

Windows Server 2012 y soporte de R2 de 2012

La compatibilidad con Windows Server 2012 y 2012 R2 finalizó el 10 de octubre de 2023. Para utilizar Patch Manager con estas versiones, se recomienda utilizar también las actualizaciones de seguridad ampliada (ESU) de Microsoft. Para obtener más información, consulte Finaliza el soporte para Windows Server 2012 y 2012 R2 en el sitio web de Microsoft.