Requisitos previos de Patch Manager - AWS Systems Manager
Versión de SSM AgentVersión de PythonConectividad con la fuente de revisionesAcceso al punto de enlace de S3Permisos para instalar revisiones localmenteSistemas operativos admitidos por Patch Manager

Requisitos previos de Patch Manager

Asegúrese de que ha cumplido los requisitos previos necesarios antes de usar Patch Manager, una capacidad de AWS Systems Manager.

Versión de SSM Agent

La versión 2.0.834.0 o una versión posterior de SSM Agent debe ejecutarse en los nodos administrados que desee administrar con Patch Manager.

nota

Cada vez que se agregan capacidades nuevas a Systems Manager o se actualizan las capacidades existentes, se lanza una versión actualizada de SSM Agent. No utilizar la versión más reciente del agente puede impedir que el nodo administrado utilice diversas capacidades y características de Systems Manager. Por este motivo, se recomienda automatizar el proceso de mantener SSM Agent actualizado en los equipos. Para obtener más información, consulta Automatización de las actualizaciones de SSM Agent. Suscríbase a la página SSM Agent Release Notes en GitHub para recibir notificaciones sobre las actualizaciones de SSM Agent.

Versión de Python

En la actualidad, para macOS y la mayoría de los sistemas operativos (SO) Linux, Patch Manager es compatible con las versiones 2.6 a 3.10 de Python. Los sistemas operativos de AlmaLinux, Debian Server, Raspberry Pi OS y Ubuntu Server requieren una versión compatible de Python 3 (3.0 a 3.10).

Conectividad con la fuente de revisiones

Si los nodos administrados no disponen de una conexión directa a Internet y utiliza una Amazon Virtual Private Cloud (Amazon VPC) con un punto de conexión de VPC, debe asegurarse de que los nodos tengan acceso a los repositorios (repos) de revisiones de origen. En los nodos de Linux, las actualizaciones de revisiones suelen descargarse de los repositorios remotos configurados en el nodo. Por lo tanto, el nodo debe poder conectarse a los repositorios para que puedan aplicarse las revisiones. Para obtener más información, consulte Cómo se seleccionan las revisiones de seguridad.

CentOS y CentOS Stream: habilitar la marca EnableNonSecurity

Los nodos administrados de CentOS 6 y 7 utilizan Yum como administrador de paquetes. Los nodos de CentOS 8 y CentOS Stream utilizan DNF como administrador de paquetes. Ambos administradores de paquetes utilizan el concepto de un aviso de actualización. Un aviso de actualización es simplemente una colección de paquetes que solucionan un problema determinado.

Sin embargo, los repositorios predeterminados de CentOS y CentOS Stream no se configuran con un aviso de actualización. Esto significa que Patch Manager no detecta paquetes en repositorios de CentOS y CentOS Stream predeterminados. Para permitir que Patch Manager procese paquetes no incluidos en avisos de actualización, debe activar la marca EnableNonSecurity en las reglas de base de referencia de los parches.

Windows Server: garantiza la conectividad al catálogo de Windows Update o a Windows Server Update Services (WSUS)

Los nodos administrados de Windows Server deben poder conectarse al catálogo de Windows Update o a Windows Server Update Services (WSUS). Confirme que los nodos cuentan con conectividad al catálogo de Microsoft Update a través de una puerta de enlace de Internet, una puerta de enlace NAT o una instancia NAT. Si utiliza WSUS, confirme que el nodo dispone de conectividad con el servidor WSUS de su entorno. Para obtener más información, consulte Asunto: el nodo administrado no tiene acceso al catálogo de Windows Update ni a WSUS.

Acceso al punto de enlace de S3

Tanto si los nodos administrados operan en una red privada como en una pública, sin tener acceso a los buckets requeridos de Amazon Simple Storage Service (Amazon S3) administrados por AWS, las operaciones de aplicación de revisiones pueden producir errores. Para obtener información acerca de los buckets de S3 a los que deben tener acceso los nodos administrados, consulte Comunicaciones de SSM Agent con buckets de S3 administrados de AWS y Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager.

Permisos para instalar revisiones localmente

En los sistemas operativos Windows Server y Linux, Patch Manager asume las cuentas de administrador y usuario raíz, respectivamente, para instalar las revisiones.

Sin embargo, en macOS, para Brew y Brew Cask, Homebrew no admite que sus comandos se ejecuten con la cuenta del usuario raíz. Como resultado, Patch Manager consulta y ejecuta los comandos de Homebrew como propietario del directorio de Homebrew o como usuario válido perteneciente al grupo de propietarios de ese directorio. Por lo tanto, para instalar las revisiones, el propietario del directorio homebrew también necesita permisos de propietario recursivos para el directorio /usr/local.

sugerencia

El siguiente comando proporciona este permiso al usuario especificado:

sudo chown -R $USER:admin /usr/local

Sistemas operativos admitidos por Patch Manager

La capacidad Patch Manager no es compatible con las mismas versiones de sistemas operativos que sí lo son con las demás capacidades del Systems Manager. Por ejemplo, Patch Manager no es compatible con CentOS 6.3 o Raspberry Pi OS 8 (Jessie). (Para ver una lista completa de los sistemas operativos admitidos por Systems Manager, consulte Sistemas operativos compatibles con Systems Manager). Por lo tanto, asegúrese de que los nodos administrados que desea utilizar con Patch Manager ejecutan uno de los sistemas operativos que se muestran en la siguiente tabla.

nota

Patch Manager utiliza los repositorios de revisiones que estén configurados en un nodo administrado, como el Catálogo de Windows Update y Windows Server Update Services para Windows, para recuperar las revisiones disponibles que se deben instalar. Por lo tanto, para versiones del sistema operativo en el final de su vida útil (EOL), si no hay nuevas actualizaciones disponibles, es posible que Patch Manager no pueda informar sobre las nuevas actualizaciones. Esto puede deberse a que el responsable de la distribución de Linux, Microsoft o Apple no han publicado nuevas actualizaciones, o a que el nodo administrado no dispone de la licencia adecuada para acceder a las nuevas actualizaciones.

Patch Manager informa del estado de conformidad respecto de las revisiones disponibles en el nodo administrado. Por lo tanto, si en una instancia se está ejecutando un sistema operativo EOL y no hay actualizaciones disponibles, es posible que Patch Manager indique que el nodo es conforme, dependiendo de las líneas de base de revisiones configuradas para la operación de revisión.

Sistema operativo Detalles

Linux

  • AlmaLinux 8.x, 9.x

  • Amazon Linux 2012.03 a 2018.03

  • Amazon Linux 2 versión 2.0 y todas las versiones posteriores

  • Amazon Linux 2022

  • Amazon Linux 2023

  • CentOS 6.5–7.9, 8.x

  • CentOS Stream 8, 9

  • Debian Server 8.x, 9.x, 10.x, 11.x y 12.x

  • Oracle Linux 7.5–8.x, 9.x

  • Raspberry Pi OS (antes: Raspbian) 9 (Stretch)

  • Red Hat Enterprise Linux (RHEL) 6.5–8.x, 9.x

  • Rocky Linux 8.x, 9.x

  • SUSE Linux Enterprise Server (SLES) 12.0 y versiones 12.x posteriores; 15.x

  • Ubuntu Server 14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 20.10 STR, 22.04 LTS, 23.04, 23.10, 24.04 y 24.10
macOS

11.3.1; 11.4-11.7 (Big Sur)

12.0-12.6 (Monterey)

13.0-13.5 (Ventura)

14.x (Sonoma)

Actualizaciones del sistema operativo macOS

Patch Manager no es compatible con actualizaciones ni mejoras del sistema operativo (SO) para macOS, tales como pasar de la versión 12.x a la 13.x o de la 13.1 a la 13.2. Para realizar actualizaciones de la versión del SO macOS, se recomienda utilizar los mecanismos de actualización del SO integrados de Apple. Para obtener más información, consulte Device Management en el sitio web Apple Developer Documentation.

Compatibilidad con Homebrew

El sistema de administración de paquetes de software de código abierto Homebrew ya no ofrece soporte para macOS 10.14.x (Mojave) y 10.15.x (Catalina). Como resultado, en la actualidad no se admiten las operaciones de revisión en estas versiones.

Compatibilidad de regiones

macOS no se admite en todas las Regiones de AWS. Para obtener más información sobre la compatibilidad de Amazon EC2 con macOS, consulte Instancias de Mac de Amazon EC2 en la Guía del usuario de Amazon EC2.

Dispositivos periféricos de macOS

No se admite SSM Agent para los dispositivos de núcleo de AWS IoT Greengrass en macOS. No se puede utilizar Patch Manager para aplicar revisiones a dispositivos de borde de macOS.

Windows

De Windows Server 2008 a Windows Server 2025, incluidas las versiones R2.

nota

No se admite SSM Agent para los dispositivos de núcleo AWS IoT Greengrass en Windows 10. No se puede utilizar Patch Manager para aplicar revisiones a dispositivos de borde de Windows 10.

Soporte de Windows Server 2008

A partir del 14 de enero de 2020, Windows Server 2008 ya no será compatible para obtener actualizaciones de características o de seguridad de Microsoft. Amazon Machine Images heredadas (AMIs) para Windows Server 2008 y 2008 R2 aún incluyen la versión 2 de SSM Agent preinstalada, pero Systems Manager ya no admite oficialmente las versiones 2008 ni actualiza el agente para estas versiones de Windows Server. Además, es posible que la versión 3 de SSM Agent no sea compatible con todas las operaciones en Windows Server 2008 y 2008 R2. La versión final oficialmente admitida de SSM Agent para las versiones Windows Server 2008 es 2.3.1644.0.

Windows Server 2012 y soporte de R2 de 2012

La compatibilidad con Windows Server 2012 y 2012 R2 finalizó el 10 de octubre de 2023. Para utilizar Patch Manager con estas versiones, se recomienda utilizar también las actualizaciones de seguridad ampliada (ESU) de Microsoft. Para obtener más información, consulte Finaliza el soporte para Windows Server 2012 y 2012 R2 en el sitio web de Microsoft.