Documentos de comando de SSM para la aplicación de revisiones a nodos administrados
En este tema se describen los nueve documentos de Systems Manager (documentos de SSM) disponibles para que pueda mantener los nodos administrados actualizados con las últimas revisiones relacionadas con la seguridad.
Se recomienda utilizar solo cinco de estos documentos en las operaciones de aplicación de revisiones. En conjunto, estos cinco documentos de SSM le proporcionan una gama completa de opciones de aplicación de revisiones con AWS Systems Manager. Cuatro de estos documentos se publicaron después de los cuatro documentos de SSM heredados a los que sustituyen, y contienen ampliaciones o consolidaciones de funcionalidad.
Documentos de SSM recomendados para las revisiones
Recomendamos utilizar los cinco documentos de SSM a continuación en las operaciones de revisión.
-
AWS-ConfigureWindowsUpdate
-
AWS-InstallWindowsUpdates
-
AWS-RunPatchBaseline
-
AWS-RunPatchBaselineAssociation
-
AWS-RunPatchBaselineWithHooks
Documentos de SSM heredados para las revisiones
Los cuatro documentos de SSM heredados a continuación aún están disponibles para ser utilizados en algunos Regiones de AWS, pero no están actualizados ni se puede garantizar que funcionen en todos los casos y puede que ya no cuenten con más soporte en el futuro. Recomendamos que no se utilicen en las operaciones de revisión.
-
AWS-ApplyPatchBaseline
-
AWS-FindWindowsUpdates
-
AWS-InstallMissingWindowsUpdates
-
AWS-InstallSpecificWindowsUpdates
Consulte las secciones siguientes para obtener más información sobre el uso de estos documentos de SSM en las operaciones de aplicación de revisiones.
Temas
- Documentos de SSM recomendados para la aplicación de revisiones a nodos administrados
- Documentos de SSM heredados para la aplicación de revisiones a nodos administrados
- Documento de comandos SSM para aplicar revisiones: AWS-RunPatchBaseline
- Documento de comandos SSM para aplicar revisiones: AWS-RunPatchBaselineAssociation
- Documento de comandos SSM para aplicar revisiones: AWS-RunPatchBaselineWithHooks
- Ejemplo de escenario para utilizar el parámetro InstallOverrideList en AWS-RunPatchBaseline o AWS-RunPatchBaselineAssociation
- Uso del parámetro BaselineOverride
Documentos de SSM recomendados para la aplicación de revisiones a nodos administrados
Se recomienda utilizar los siguientes cinco documentos de SSM para las operaciones de aplicación de revisiones en los nodos administrados.
Documentos de SSM recomendados
AWS-ConfigureWindowsUpdate
Admite configurar las funciones básicas de Windows Update y utilizarlas para instalar actualizaciones de forma automática (o para desactivar las actualizaciones automáticas). Disponible en todas las Regiones de AWS.
Este documento de SSM indica a Windows Update que descargue e instale las actualizaciones especificadas y que reinicie los nodos administrados según sea necesario. Utilice este documento con State Manager, una capacidad de AWS Systems Manager, para asegurarse de que Windows Update conserve su configuración. También puede ejecutarlo de forma manual con Run Command, una capacidad de AWS Systems Manager, para cambiar la configuración de Windows Update.
Los parámetros disponibles en este documento permiten especificar la categoría de actualizaciones que se deben instalar (o si se deben desactivar las actualizaciones automáticas), así como especificar el día de la semana y la hora del día en que se deben ejecutar las operaciones de aplicación de revisiones. Este documento de SSM es más útil si no se necesita un control estricto sobre las actualizaciones de Windows y no es necesario recopilar información de conformidad.
Documentos de SSM heredados a los que sustituye:
-
Ninguna
AWS-InstallWindowsUpdates
Instala actualizaciones en un nodo administrado de Windows Server. Disponible en todas las Regiones de AWS.
Este documento de SSM proporciona la funcionalidad básica de aplicación de revisiones para los casos en los que se desea instalar una actualización específica (mediante el parámetro Include Kbs
), o se desea instalar revisiones con clasificaciones o categorías específicas, pero no se necesita información de conformidad de revisiones.
Documentos de SSM heredados a los que sustituye:
-
AWS-FindWindowsUpdates
-
AWS-InstallMissingWindowsUpdates
-
AWS-InstallSpecificWindowsUpdates
Los tres documentos heredados realizan diferentes funciones, pero se pueden alcanzar los mismos resultados mediante una configuración de parámetros distinta con el documento AWS-InstallWindowsUpdates
de SSM más reciente. Esta configuración de parámetros se describe en Documentos de SSM heredados para la aplicación de revisiones a nodos administrados.
AWS-RunPatchBaseline
Instala revisiones en los nodos administrados o los examina para determinar si falta alguna revisión que sea aplicable. Disponible en todas las Regiones de AWS.
AWS-RunPatchBaseline
le permite controlar las aprobaciones de revisiones mediante la línea de base de revisiones que se especifica como “predeterminada” para un tipo de sistema operativo. Genera informes de conformidad de revisiones que se pueden visualizar con las herramientas de conformidad de Systems Manager. Estas herramientas proporcionan información sobre el estado de conformidad de revisiones de los nodos administrados como, por ejemplo, en qué nodos faltan revisiones y cuáles son esas revisiones. Cuando utiliza AWS-RunPatchBaseline
, la información relativa a la conformidad de revisiones se registra mediante el comando PutInventory
de la API. En el caso de los sistemas operativos Linux, se proporciona información sobre la conformidad para las revisiones tanto del repositorio de origen predeterminado configurado en un nodo administrado como de los repositorios de origen alternativos que se especifiquen en una base de referencia de revisiones personalizada. Para obtener más información sobre los repositorios de origen alternativos, consulte Cómo especificar un repositorio de origen de parches alternativo (Linux). Para obtener más información acerca de las herramientas de conformidad de Systems Manager, consulte Conformidad de AWS Systems Manager.
Documentos heredados a los que sustituye:
-
AWS-ApplyPatchBaseline
El documento heredado AWS-ApplyPatchBaseline
se aplica únicamente en el caso de los nodos administrados de Windows Server y no ofrece soporte para la aplicación de revisiones. El nuevo documento AWS-RunPatchBaseline
ofrece la misma compatibilidad para sistemas Windows y Linux. Es necesario disponer de la versión 2.0.834.0 del SSM Agent u otra posterior para poder utilizar el documento AWS-RunPatchBaseline
.
Para obtener más información acerca del documento AWS-RunPatchBaseline
de SSM, consulte Documento de comandos SSM para aplicar revisiones: AWS-RunPatchBaseline.
AWS-RunPatchBaselineAssociation
Instala revisiones en las instancias o las examina para determinar si falta alguna revisión que sea aplicable. Disponible en todas las Regiones de AWS comerciales.
AWS-RunPatchBaselineAssociation
difiere de AWS-RunPatchBaseline
en algunos aspectos relevantes:
-
AWS-RunPatchBaselineAssociation
está diseñado para que se utilice principalmente con asociaciones de State Manager creadas mediante Quick Setup, una capacidad de AWS Systems Manager. Especialmente cuando se utiliza el tipo de configuración Quick Setup de administración de host, si elige la opción escanear las instancias para detectar las revisiones que faltan cada día, el sistema utilizaAWS-RunPatchBaselineAssociation
para efectuar la operación.Sin embargo, en la mayoría de los casos, a la hora de configurar sus propias operaciones de aplicación de revisiones, debe elegir AWS-RunPatchBaseline o AWS-RunPatchBaselineWithHooks en lugar de
AWS-RunPatchBaselineAssociation
.Para obtener más información, consulte los temas siguientes:
-
AWS-RunPatchBaselineAssociation
admite el uso de etiquetas que permiten identificar cuál es la línea de base de revisiones que se utilizará con un conjunto de destinos cuando se ejecute. -
Para las operaciones de aplicación de revisiones que utilizan
AWS-RunPatchBaselineAssociation
, los datos de conformidad de las revisiones se compilan en función de una asociación específica de State Manager. Los datos de conformidad de revisiones que se recopilan cuando se ejecutaAWS-RunPatchBaselineAssociation
se registran mediante el comandoPutComplianceItems
de la API en lugar del comandoPutInventory
. Por consiguiente, se evita que se sobrescriban los datos de conformidad que no se encuentran relacionados con esta asociación en particular.En el caso de los sistemas operativos Linux, se proporciona información sobre la conformidad para las revisiones tanto del repositorio de origen predeterminado configurado en una instancia como de los repositorios de origen alternativos que se especifiquen en una línea de base de revisiones personalizada. Para obtener más información sobre los repositorios de origen alternativos, consulte Cómo especificar un repositorio de origen de parches alternativo (Linux). Para obtener más información acerca de las herramientas de conformidad de Systems Manager, consulte Conformidad de AWS Systems Manager.
Documentos heredados a los que sustituye:
-
Ninguna
Para obtener más información acerca del documento AWS-RunPatchBaselineAssociation
de SSM, consulte Documento de comandos SSM para aplicar revisiones: AWS-RunPatchBaselineAssociation.
AWS-RunPatchBaselineWithHooks
Instala revisiones en los nodos administrados o analiza los nodos para determinar si falta alguna revisión aplicable, con enlaces opcionales que se pueden utilizar para ejecutar documentos de SSM en tres puntos durante el ciclo de aplicación de revisiones. Disponible en todas las Regiones de AWS comerciales. No se admite en macOS.
AWS-RunPatchBaselineWithHooks
se diferencia de AWS-RunPatchBaseline
en la operación Install
.
AWS-RunPatchBaselineWithHooks
admite enlaces de ciclo de vida que se ejecutan en puntos designados durante la aplicación de revisiones en los nodos administrados. Dado que las instalaciones de revisiones en ocasiones requieren que se reinicien los nodos administrados, la operación de aplicación de revisiones se divide en dos eventos, lo que supone un total de tres enlaces que permiten una funcionalidad personalizada. El primer enlace tiene lugar antes de la operación Install with NoReboot
. El segundo enlace tiene lugar después de la operación Install with NoReboot
. El tercer enlace está disponible después del reinicio del nodo.
Documentos heredados a los que sustituye:
-
Ninguna
Para obtener más información acerca del documento AWS-RunPatchBaselineWithHooks
de SSM, consulte Documento de comandos SSM para aplicar revisiones: AWS-RunPatchBaselineWithHooks.
Documentos de SSM heredados para la aplicación de revisiones a nodos administrados
Los cuatro documentos de SSM a continuación aún están disponibles en algunas Regiones de AWS. Sin embargo, ya no están actualizados y puede que ya no cuenten con más soporte en el futuro, por lo que recomendamos que no se utilicen. En su lugar, utilice los documentos se describe en Documentos de SSM recomendados para la aplicación de revisiones a nodos administrados.
Documentos de SSM heredados
AWS-ApplyPatchBaseline
Admite solo los nodos administrados de Windows Server, pero no incluye la compatibilidad con el uso de revisiones en aplicaciones que se encuentra en su sustitución, AWS-RunPatchBaseline
. No está disponible en Regiones de AWS lanzadas después de agosto de 2017.
nota
El sustituto de este documento de SSM, AWS-RunPatchBaseline
, requiere la versión 2.0.834.0 del SSM Agent u otra posterior. Puede utilizar el documento AWS-UpdateSSMAgent
para actualizar los nodos administrados a la versión más reciente del agente.
AWS-FindWindowsUpdates
Ha sido sustituido por AWS-InstallWindowsUpdates
, que puede realizar las mismas acciones. No está disponible en Regiones de AWS lanzadas después de abril de 2017.
Para lograr el mismo resultado que obtendría a partir de este documento de SSM heredado, utilice la siguiente configuración de parámetros con el documento de sustitución recomendado, AWS-InstallWindowsUpdates
:
-
Action
=Scan
-
Allow Reboot
=False
AWS-InstallMissingWindowsUpdates
Ha sido sustituido por AWS-InstallWindowsUpdates
, que puede realizar las mismas acciones. No está disponible en ninguna de las Regiones de AWS lanzadas después de abril de 2017.
Para lograr el mismo resultado que obtendría a partir de este documento de SSM heredado, utilice la siguiente configuración de parámetros con el documento de sustitución recomendado, AWS-InstallWindowsUpdates
:
-
Action
=Install
-
Allow Reboot
=True
AWS-InstallSpecificWindowsUpdates
Ha sido sustituido por AWS-InstallWindowsUpdates
, que puede realizar las mismas acciones. No está disponible en ninguna de las Regiones de AWS lanzadas después de abril de 2017.
Para lograr el mismo resultado que obtendría a partir de este documento de SSM heredado, utilice la siguiente configuración de parámetros con el documento de sustitución recomendado, AWS-InstallWindowsUpdates
:
-
Action
=Install
-
Allow Reboot
=True
-
Include Kbs
=lista de artículos de KB separada por comas