Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Installation des correctifs
Patch Manager, une fonctionnalité de AWS Systems Manager, utilise le mécanisme intégré approprié à un type de système d'exploitation pour installer les mises à jour sur un nœud géré. Par exemple, sur Windows Server, Windows Update API est utilisé, et sur Amazon Linux 2, le gestionnaire de yum
packages est utilisé.
Choisissez l'un des onglets suivants pour savoir comment Patch Manager installe des correctifs sur un système d'exploitation.
- Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023
-
Sur les nœuds gérés Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 et Amazon Linux 2023, le flux de travail d'installation des correctifs est le suivant :
-
Si une liste de correctifs est spécifiée à l'aide d'un chemin https URL ou d'un URL style de chemin Amazon Simple Storage Service (Amazon S3) à l'aide
InstallOverrideList
du paramètre pour les documentsAWS-RunPatchBaselineAssociation
ou,AWS-RunPatchBaseline
les correctifs répertoriés sont installés et les étapes 2 à 7 sont ignorées. -
Appliquer GlobalFilterscomme indiqué dans la ligne de base des correctifs, en ne conservant que les packages qualifiés pour un traitement ultérieur.
-
Appliquer ApprovalRulescomme indiqué dans la ligne de base du correctif. Chaque règle d'approbation peut définir un package comme approuvé.
Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.
Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité.
Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.
-
Appliquer ApprovedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs approuvés sont approuvés pour la mise à jour même s'ils sont rejetés par GlobalFiltersou si aucune règle d'approbation n'est spécifiée dans ApprovalRuleslui accorde son approbation.
-
Appliquer RejectedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs rejetés sont supprimés de la liste des correctifs approuvés et ne seront pas appliqués.
-
Si plusieurs versions d'un correctif sont approuvées, la version la plus récente sera appliquée.
-
La YUM mise à jour API (Amazon Linux 1, Amazon Linux 2) ou la DNF mise à jour API (Amazon Linux 2022, Amazon Linux 2023) est appliquée aux correctifs approuvés comme suit :
-
Pour les référentiels de correctifs par défaut prédéfinis fournis par AWS, seuls les correctifs spécifiés dans
updateinfo.xml
sont appliqués (mises à jour de sécurité uniquement). Cela est dû au fait que la case Inclusion de mises à jour non liées à la sécurité n’est pas cochée. Les références prédéfinies sont équivalentes à une référence personnalisée avec les éléments suivants :-
La case Inclusion de mises à jour non liées à la sécurité n’est pas cochée.
-
Une SEVERITY liste de
[Critical, Important]
-
Une CLASSIFICATION liste de
[Security, Bugfix]
Pour Amazon Linux 1 et Amazon Linux 2, la commande yum équivalente pour ce flux de travail est la suivante :
sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y
Pour Amazon Linux 2022 et Amazon Linux 2023, la commande dnf équivalente pour ce flux de travail est :
sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y
Si la case Inclusion de mises à jour non liées à la sécurité est cochée, les correctifs figurant dans
updateinfo.xml
et ceux ne figurant pas dansupdateinfo.xml
sont appliqués (mises à jour de sécurité et non liées à la sécurité).Pour Amazon Linux 1 et Amazon Linux 2, si une ligne de base avec Inclure les mises à jour non liées à la sécurité est sélectionnée, contient une SEVERITY liste
[Critical, Important]
et une CLASSIFICATION liste de[Security, Bugfix]
, la commande yum équivalente est la suivante :sudo yum update --security --sec-severity=Critical,Important --bugfix -y
Pour Amazon Linux 2022 et Amazon Linux 2023, la commande dnf équivalente est :
sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
Note
Pour Amazon Linux 2022 et Amazon Linux 2023, un niveau de sévérité des correctifs
Medium
équivaut à un niveau de sévéritéModerate
pouvant être défini dans certains référentiels externes. Si vous incluez des correctifs de gravitéMedium
dans le référentiel de correctifs, des correctifs de gravitéModerate
provenant de correctifs externes sont également installés sur les instances.Lorsque vous recherchez des données de conformité à l'aide de l'APIaction DescribeInstancePatches, le filtrage par niveau de gravité
Medium
signale les correctifs présentant des niveaux de gravité à la foisMedium
etModerate
.Amazon Linux 2022 et Amazon Linux 2023 prennent également en charge le niveau de gravité des correctifs
None
, reconnu par le gestionnaire de DNF packages. -
-
-
Si des mises à jour ont été installées, le nœud géré est redémarré. (Exception : si le
RebootOption
paramètre est défini surNoReboot
dans leAWS-RunPatchBaseline
document, le nœud géré n'est pas redémarré après Patch Manager court. Pour plus d'informations, consultez Nom du paramètre: RebootOption.)
-
- CentOS and CentOS Stream
-
Sur CentOS et CentOS Stream nœuds gérés, le flux de travail d'installation des correctifs est le suivant :
-
Si une liste de correctifs est spécifiée à l'aide d'un chemin https URL ou d'un URL style de chemin Amazon Simple Storage Service (Amazon S3) à l'aide
InstallOverrideList
du paramètre pour les documentsAWS-RunPatchBaselineAssociation
ou,AWS-RunPatchBaseline
les correctifs répertoriés sont installés et les étapes 2 à 7 sont ignorées.Appliquer GlobalFilterscomme indiqué dans la ligne de base des correctifs, en ne conservant que les packages qualifiés pour un traitement ultérieur.
-
Appliquer ApprovalRulescomme indiqué dans la ligne de base du correctif. Chaque règle d'approbation peut définir un package comme approuvé.
Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.
Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité.
Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.
-
Appliquer ApprovedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs approuvés sont approuvés pour la mise à jour même s'ils sont rejetés par GlobalFiltersou si aucune règle d'approbation n'est spécifiée dans ApprovalRuleslui accorde son approbation.
-
Appliquer RejectedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs rejetés sont supprimés de la liste des correctifs approuvés et ne seront pas appliqués.
-
Si plusieurs versions d'un correctif sont approuvées, la version la plus récente sera appliquée.
-
La YUM mise à jour API (sur les versions 6.x et 7.x de CentOS) ou la mise à jour DNF (sur CentOS 8 et CentOS Stream) est appliqué aux correctifs approuvés.
-
Si des mises à jour ont été installées, le nœud géré est redémarré. (Exception : si le
RebootOption
paramètre est défini surNoReboot
dans leAWS-RunPatchBaseline
document, le nœud géré n'est pas redémarré après Patch Manager court. Pour plus d'informations, consultez Nom du paramètre: RebootOption.)
-
- Debian Server and Raspberry Pi OS
-
Activé Debian Server and Raspberry Pi OS instances (anciennement Raspbian), le flux de travail d'installation des correctifs est le suivant :
-
Si une liste de correctifs est spécifiée à l'aide d'un chemin https URL ou d'un URL style de chemin Amazon Simple Storage Service (Amazon S3) à l'aide
InstallOverrideList
du paramètre pour les documentsAWS-RunPatchBaselineAssociation
ou,AWS-RunPatchBaseline
les correctifs répertoriés sont installés et les étapes 2 à 7 sont ignorées. -
Si une mise à jour est disponible pour
python3-apt
(une interface de bibliothèque Python pourlibapt
), la mise à niveau est faite à la dernière version. (Ce package non lié à la sécurité est mis à niveau même si vous n'avez pas sélectionné l'option Inclure les mises à jour non liées à la sécurité.)Important
Activé Debian Server 8 uniquement : Parce que certains Debian Server 8.* les nœuds gérés font référence à un référentiel de packages obsolète (
jessie-backports
), Patch Manager effectue les étapes supplémentaires suivantes pour garantir le succès des opérations de correction :-
Sur votre nœud géré, la référence au référentiel
jessie-backports
est commentée à partir de la liste des emplacements sources (/etc/apt/sources.list.d/jessie-backports
). Par conséquent, aucune tentative n'est effectuée pour télécharger des correctifs à partir de cet emplacement. -
Une clé de signature de mise à jour de sécurité Stretch est importée. Cette clé fournit les autorisations nécessaires pour les opérations de mise à jour et d'installation sur Debian Server 8.* distributions.
-
L'opération
apt-get
est exécutée à ce moment précis pour s'assurer que la dernière version depython3-apt
est installée avant le début du processus d'application des correctifs. -
Une fois le processus d'installation terminé, la référence au référentiel
jessie-backports
est restaurée et la clé de signature est supprimée du porte-clés source apt. Ainsi, la configuration du système demeure telle qu'elle était avant l'opération d'application de correctifs.
La prochaine fois Patch Manager met à jour le système, le même processus est répété.
-
-
Appliquer GlobalFilterscomme indiqué dans la ligne de base des correctifs, en ne conservant que les packages qualifiés pour un traitement ultérieur.
-
Appliquer ApprovalRulescomme indiqué dans la ligne de base du correctif. Chaque règle d'approbation peut définir un package comme approuvé.
Note
Parce qu'il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Debian Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.
Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.
Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité.
Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.
Note
Dans Debian Server and Raspberry Pi OS, les versions candidates aux correctifs sont limitées aux correctifs inclus dans
debian-security
. -
Appliquer ApprovedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs approuvés sont approuvés pour la mise à jour même s'ils sont rejetés par GlobalFiltersou si aucune règle d'approbation n'est spécifiée dans ApprovalRuleslui accorde son approbation.
-
Appliquer RejectedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs rejetés sont supprimés de la liste des correctifs approuvés et ne seront pas appliqués.
-
La APT bibliothèque est utilisée pour mettre à niveau les packages.
Note
Patch Manager ne prend pas en charge l'utilisation de l'APT
Pin-Priority
option permettant d'attribuer des priorités aux packages. Patch Manager regroupe les mises à jour disponibles depuis tous les référentiels activés et sélectionne la mise à jour la plus récente correspondant à la ligne de base de chaque package installé. -
Si des mises à jour ont été installées, le nœud géré est redémarré. (Exception : si le
RebootOption
paramètre est défini surNoReboot
dans leAWS-RunPatchBaseline
document, le nœud géré n'est pas redémarré après Patch Manager court. Pour plus d'informations, consultez Nom du paramètre: RebootOption.)
-
- macOS
-
Activé macOS nœuds gérés, le flux de travail d'installation des correctifs est le suivant :
-
La liste de propriétés
/Library/Receipts/InstallHistory.plist
est un registre des logiciels qui ont été installés et mis à niveau à l'aide des gestionnaires de packagesoftwareupdate
etinstaller
. À l'aide de l'outil de ligne depkgutil
commande (forinstaller
) et du gestionnaire desoftwareupdate
packages, des CLI commandes sont exécutées pour analyser cette liste.En
installer
effet, la réponse aux CLI commandes inclutpackage name
,version
,volume
location
, et lesinstall-time
détails, mais seuls lespackage name
etversion
sont utilisés par Patch Manager.En
softwareupdate
effet, la réponse aux CLI commandes inclut le nom du package (display name
), etversion
date
, mais seuls le nom et la version du package sont utilisés par Patch Manager.Pour Brew et Brew Cask, Homebrew ne prend pas en charge les commandes qui s'exécutent sous l'utilisateur racine. En conséquence, Patch Manager recherche et exécute des commandes Homebrew en tant que propriétaire du répertoire Homebrew ou en tant qu'utilisateur valide appartenant au groupe de propriétaires du répertoire Homebrew. Les commandes sont similaires à
softwareupdate
etinstaller
, et sont exécutées via un sous-processus Python pour collecter les données de package, la sortie étant analysée pour identifier les noms et les versions des packages. -
Appliquer GlobalFilterscomme indiqué dans la ligne de base des correctifs, en ne conservant que les packages qualifiés pour un traitement ultérieur.
-
Appliquer ApprovalRulescomme indiqué dans la ligne de base du correctif. Chaque règle d'approbation peut définir un package comme approuvé.
-
Appliquer ApprovedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs approuvés sont approuvés pour la mise à jour même s'ils sont rejetés par GlobalFiltersou si aucune règle d'approbation n'est spécifiée dans ApprovalRuleslui accorde son approbation.
-
Appliquer RejectedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs rejetés sont supprimés de la liste des correctifs approuvés et ne seront pas appliqués.
-
Si plusieurs versions d'un correctif sont approuvées, la version la plus récente sera appliquée.
-
Invoque le package approprié CLI sur le nœud géré pour traiter les correctifs approuvés comme suit :
Note
installer
ne dispose pas de la fonctionnalité nécessaire pour rechercher et installer des mises à jour. Par conséquent, pourinstaller
, Patch Manager indique uniquement les packages installés. Il s'ensuit que les packagesinstaller
ne sont jamais signalés commeMissing
.-
Pour les référentiels de correctifs par défaut prédéfinis fournis par AWS et pour les référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité n’est pas cochée, seules les mises à jour de sécurité sont appliquées.
-
Pour les référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité est cochée, les mises à jour de sécurité et non liées à la sécurité sont appliquées.
-
-
Si des mises à jour ont été installées, le nœud géré est redémarré. (Exception : si le
RebootOption
paramètre est défini surNoReboot
dans leAWS-RunPatchBaseline
document, le nœud géré n'est pas redémarré après Patch Manager court. Pour plus d'informations, consultez Nom du paramètre: RebootOption.)
-
- Oracle Linux
-
Activé Oracle Linux nœuds gérés, le flux de travail d'installation des correctifs est le suivant :
-
Si une liste de correctifs est spécifiée à l'aide d'un chemin https URL ou d'un URL style de chemin Amazon Simple Storage Service (Amazon S3) à l'aide
InstallOverrideList
du paramètre pour les documentsAWS-RunPatchBaselineAssociation
ou,AWS-RunPatchBaseline
les correctifs répertoriés sont installés et les étapes 2 à 7 sont ignorées. -
Appliquer GlobalFilterscomme indiqué dans la ligne de base des correctifs, en ne conservant que les packages qualifiés pour un traitement ultérieur.
-
Appliquer ApprovalRulescomme indiqué dans la ligne de base du correctif. Chaque règle d'approbation peut définir un package comme approuvé.
Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.
Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité.
Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.
-
Appliquer ApprovedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs approuvés sont approuvés pour la mise à jour même s'ils sont rejetés par GlobalFiltersou si aucune règle d'approbation n'est spécifiée dans ApprovalRuleslui accorde son approbation.
-
Appliquer RejectedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs rejetés sont supprimés de la liste des correctifs approuvés et ne seront pas appliqués.
-
Si plusieurs versions d'un correctif sont approuvées, la version la plus récente sera appliquée.
-
Sur les nœuds gérés en version 7, la YUM mise à jour API est appliquée aux correctifs approuvés comme suit :
-
Pour les référentiels de correctifs par défaut prédéfinis fournis par AWS et pour les référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité n’est pas cochée, seuls les correctifs spécifiés dans
updateinfo.xml
sont appliqués (mises à jour de sécurité uniquement).La commande yum équivalente pour ce flux de travail est :
sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y
-
Pour les référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité est cochée, les correctifs figurant dans
updateinfo.xml
et ceux ne figurant pas dansupdateinfo.xml
sont appliqués (mises à jour de sécurité et non liées à la sécurité).La commande yum équivalente pour ce flux de travail est :
sudo yum update --security --bugfix -y
Sur les nœuds gérés dans les versions 8 et 9, la DNF mise à jour API est appliquée aux correctifs approuvés comme suit :
-
Pour les lignes de base de correctifs par défaut prédéfinies fournies par AWS, et pour les lignes de base de correctifs personnalisées pour lesquelles la case Inclure les mises à jour non liées à la sécurité n'est pas cochée, seuls les correctifs spécifiés dans
updateinfo.xml
sont appliqués (mises à jour de sécurité uniquement).La commande yum équivalente pour ce flux de travail est :
sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important
-
Pour les référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité est cochée, les correctifs figurant dans
updateinfo.xml
et ceux ne figurant pas dansupdateinfo.xml
sont appliqués (mises à jour de sécurité et non liées à la sécurité).La commande yum équivalente pour ce flux de travail est :
sudo dnf upgrade --security --bugfix
-
-
-
Si des mises à jour ont été installées, le nœud géré est redémarré. (Exception : si le
RebootOption
paramètre est défini surNoReboot
dans leAWS-RunPatchBaseline
document, le nœud géré n'est pas redémarré après Patch Manager court. Pour plus d'informations, consultez Nom du paramètre: RebootOption.)
-
- AlmaLinux, RHEL, and Rocky Linux
-
Activé AlmaLinux, Red Hat Enterprise Linux, et Rocky Linux nœuds gérés, le flux de travail d'installation des correctifs est le suivant :
-
Si une liste de correctifs est spécifiée à l'aide d'un chemin https URL ou d'un URL style de chemin Amazon Simple Storage Service (Amazon S3) à l'aide
InstallOverrideList
du paramètre pour les documentsAWS-RunPatchBaselineAssociation
ou,AWS-RunPatchBaseline
les correctifs répertoriés sont installés et les étapes 2 à 7 sont ignorées. -
Appliquer GlobalFilterscomme indiqué dans la ligne de base des correctifs, en ne conservant que les packages qualifiés pour un traitement ultérieur.
-
Appliquer ApprovalRulescomme indiqué dans la ligne de base du correctif. Chaque règle d'approbation peut définir un package comme approuvé.
Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.
Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité.
Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.
-
Appliquer ApprovedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs approuvés sont approuvés pour la mise à jour même s'ils sont rejetés par GlobalFiltersou si aucune règle d'approbation n'est spécifiée dans ApprovalRuleslui accorde son approbation.
-
Appliquer RejectedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs rejetés sont supprimés de la liste des correctifs approuvés et ne seront pas appliqués.
-
Si plusieurs versions d'un correctif sont approuvées, la version la plus récente sera appliquée.
-
La YUM mise à jour API (sur RHEL 7) ou la DNF mise à jour API (les AlmaLinux 8 et 9, RHEL 8 et 9, et Rocky Linux 8 et 9) est appliqué aux correctifs approuvés comme suit :
-
Pour les référentiels de correctifs par défaut prédéfinis fournis par AWS et pour les référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité n’est pas cochée, seuls les correctifs spécifiés dans
updateinfo.xml
sont appliqués (mises à jour de sécurité uniquement).Dans RHEL 7, la commande yum équivalente pour ce flux de travail est la suivante :
sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y
Pour AlmaLinux, RHEL 8, et Rocky Linux , les commandes dnf équivalentes pour ce flux de travail sont les suivantes :
sudo dnf update-minimal --sec-severity=Critical --bugfix -y ; \ sudo dnf update-minimal --sec-severity=Important --bugfix -y
-
Pour les référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité est cochée, les correctifs figurant dans
updateinfo.xml
et ceux ne figurant pas dansupdateinfo.xml
sont appliqués (mises à jour de sécurité et non liées à la sécurité).Dans RHEL 7, la commande yum équivalente pour ce flux de travail est la suivante :
sudo yum update --security --bugfix -y
Pour AlmaLinux 8 et 9, RHEL 8 et 9, et Rocky Linux 8 et 9, la commande dnf équivalente pour ce flux de travail est la suivante :
sudo dnf update --security --bugfix -y
-
-
Si des mises à jour ont été installées, le nœud géré est redémarré. (Exception : si le
RebootOption
paramètre est défini surNoReboot
dans leAWS-RunPatchBaseline
document, le nœud géré n'est pas redémarré après Patch Manager court. Pour plus d'informations, consultez Nom du paramètre: RebootOption.)
-
- SLES
-
Activé SUSE Linux Enterprise Server (SLES) nœuds gérés, le flux de travail d'installation des correctifs est le suivant :
-
Si une liste de correctifs est spécifiée à l'aide d'un chemin https URL ou d'un URL style de chemin Amazon Simple Storage Service (Amazon S3) à l'aide
InstallOverrideList
du paramètre pour les documentsAWS-RunPatchBaselineAssociation
ou,AWS-RunPatchBaseline
les correctifs répertoriés sont installés et les étapes 2 à 7 sont ignorées. -
Appliquer GlobalFilterscomme indiqué dans la ligne de base des correctifs, en ne conservant que les packages qualifiés pour un traitement ultérieur.
-
Appliquer ApprovalRulescomme indiqué dans la ligne de base du correctif. Chaque règle d'approbation peut définir un package comme approuvé.
Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.
Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité.
Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.
-
Appliquer ApprovedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs approuvés sont approuvés pour la mise à jour même s'ils sont rejetés par GlobalFiltersou si aucune règle d'approbation n'est spécifiée dans ApprovalRuleslui accorde son approbation.
-
Appliquer RejectedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs rejetés sont supprimés de la liste des correctifs approuvés et ne seront pas appliqués.
-
Si plusieurs versions d'un correctif sont approuvées, la version la plus récente sera appliquée.
-
La mise à jour Zypper API est appliquée aux correctifs approuvés.
-
Si des mises à jour ont été installées, le nœud géré est redémarré. (Exception : si le
RebootOption
paramètre est défini surNoReboot
dans leAWS-RunPatchBaseline
document, le nœud géré n'est pas redémarré après Patch Manager court. Pour plus d'informations, consultez Nom du paramètre: RebootOption.)
-
- Ubuntu Server
-
Activé Ubuntu Server nœuds gérés, le flux de travail d'installation des correctifs est le suivant :
-
Si une liste de correctifs est spécifiée à l'aide d'un chemin https URL ou d'un URL style de chemin Amazon Simple Storage Service (Amazon S3) à l'aide
InstallOverrideList
du paramètre pour les documentsAWS-RunPatchBaselineAssociation
ou,AWS-RunPatchBaseline
les correctifs répertoriés sont installés et les étapes 2 à 7 sont ignorées. -
Si une mise à jour est disponible pour
python3-apt
(une interface de bibliothèque Python pourlibapt
), la mise à niveau est faite à la dernière version. (Ce package non lié à la sécurité est mis à niveau même si vous n'avez pas sélectionné l'option Inclure les mises à jour non liées à la sécurité.) -
Appliquer GlobalFilterscomme indiqué dans la ligne de base des correctifs, en ne conservant que les packages qualifiés pour un traitement ultérieur.
-
Appliquer ApprovalRulescomme indiqué dans la ligne de base du correctif. Chaque règle d'approbation peut définir un package comme approuvé.
Note
Parce qu'il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Ubuntu Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.
Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.
Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité.
Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.
Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.
Note
Pour chaque version de Ubuntu Server, les versions candidates aux correctifs sont limitées aux correctifs qui font partie du dépôt associé à cette version, comme suit :
-
Ubuntu Server 14,04 : LTS
trusty-security
-
Ubuntu Server 16,04 : LTS
xenial-security
-
Ubuntu Server 18,04 : LTS
bionic-security
-
Ubuntu Server 20,04LTS) :
focal-security
-
Ubuntu Server 20,10 STR :
groovy-security
-
Ubuntu Server 22,04 : LTS
jammy-security
-
Ubuntu Server 23,04 :
lunar-lobster
-
-
Appliquer ApprovedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs approuvés sont approuvés pour la mise à jour même s'ils sont rejetés par GlobalFiltersou si aucune règle d'approbation n'est spécifiée dans ApprovalRuleslui accorde son approbation.
-
Appliquer RejectedPatchescomme indiqué dans la ligne de base du correctif. Les correctifs rejetés sont supprimés de la liste des correctifs approuvés et ne seront pas appliqués.
-
La APT bibliothèque est utilisée pour mettre à niveau les packages.
Note
Patch Manager ne prend pas en charge l'utilisation de l'APT
Pin-Priority
option permettant d'attribuer des priorités aux packages. Patch Manager regroupe les mises à jour disponibles depuis tous les référentiels activés et sélectionne la mise à jour la plus récente correspondant à la ligne de base de chaque package installé. -
Si des mises à jour ont été installées, le nœud géré est redémarré. (Exception : si le
RebootOption
paramètre est défini surNoReboot
dans leAWS-RunPatchBaseline
document, le nœud géré n'est pas redémarré après Patch Manager court. Pour plus d'informations, consultez Nom du paramètre: RebootOption.)
-
- Windows Server
-
Lorsqu'une opération de correction est effectuée sur un Windows Server nœud géré, le nœud demande un instantané de la ligne de base de correctifs appropriée à Systems Manager. Cet instantané contient la liste de toutes les mises à jour disponibles dans le référentiel de correctifs ayant été approuvées à des fins de déploiement. Cette liste de mises à jour est envoyée à Windows UpdateAPI, qui détermine les mises à jour applicables au nœud géré et les installe selon les besoins. Windows autorise uniquement l'installation de la dernière version disponible d'une base de connaissances. Patch Manager installe la dernière version d'une base de connaissances lorsque celle-ci, ou toute version précédente de la base de données, correspond à la ligne de base de correctif appliquée. Si des mises à jour sont installées, le nœud géré est ensuite redémarré autant de fois que nécessaire pour appliquer les correctifs requis. (Exception : si le
RebootOption
paramètre est défini surNoReboot
dans leAWS-RunPatchBaseline
document, le nœud géré n'est pas redémarré après Patch Manager court. Pour plus d'informations, consultez Nom du paramètre: RebootOption.) Le résumé de l'opération de correction se trouve dans la sortie du Run Command demande. Des journaux supplémentaires sont disponibles dans le dossier%PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs
du nœud géré.Windows Update API étant utilisé pour le téléchargement et l'installationKBs, tous les paramètres de stratégie de groupe pour Windows Update sont respectés. Aucun paramètre de stratégie de groupe n'est requis pour utiliser Patch Manager, mais tous les paramètres que vous avez définis seront appliqués, par exemple pour diriger les nœuds gérés vers un serveur Windows Server Update Services (WSUS).
Note
Par défaut, Windows télécharge tout KBs depuis le site Windows Update de Microsoft, car Patch Manager utilise Windows Update API pour piloter le téléchargement et l'installation deKBs. Par conséquent, le nœud géré doit avoir accès au site Microsoft Windows Update, faute de quoi l'application des correctifs échouera. Vous pouvez également configurer un WSUS serveur pour qu'il serve de référentiel de base de connaissances et configurer vos nœuds gérés pour cibler ce WSUS serveur à l'aide de stratégies de groupe.