

• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation de Kernel Live Patching sur des nœuds gérés Amazon Linux 2
<a name="patch-manager-kernel-live-patching"></a>

Kernel Live Patching pour Amazon Linux 2 vous permet d'appliquer des correctifs de vulnérabilité de sécurité et de bogues critiques à un noyau Linux en cours d'exécution, sans redémarrer ni interrompre les applications en cours d'exécution. Cela vous permet de bénéficier d'une meilleure disponibilité des services et des applications, tout en profitant d'une infrastructure sécurisée et à jour. Kernel Live Patching est pris en charge sur les instances Amazon EC2, sur les appareils Core AWS IoT Greengrass et sur les [machines virtuelles sur site](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-2-virtual-machine.html) qui exécutent Amazon Linux 2.

[Pour obtenir des informations générales à ce sujetKernel Live Patching, consultez Kernel Live Patching le *guide de l'utilisateur Amazon Linux 2*. AL2](https://docs.aws.amazon.com/linux/al2/ug/al2-live-patching.html)

Après avoir activé Kernel Live Patching sur un nœud géré Amazon Linux 2, vous pouvez utiliser Patch Manager, un outil d’ AWS Systems Manager pour appliquer des correctifs à chaud du noyau au nœud géré. L'utilisation de Patch Manager est une alternative à l'utilisation de flux de travail yum existants sur le nœud pour appliquer les mises à jour.

**Avant de commencer**  
Pour utiliser Patch Manager afin d'appliquer des correctifs à chaud du noyau sur vos nœuds gérés Amazon Linux 2, assurez-vous que vos nœuds sont basés sur la bonne architecture et la bonne version du noyau. Pour obtenir des informations, veuillez consulter [Configurations et conditions préalables prises en charge](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-prereq) dans le* Guide de l’utilisateur Amazon EC2*.

**Topics**
+ [

## Kernel Live Patching  utilisant  Patch Manager
](#about-klp)
+ [

## Fonctionnement de Kernel Live Patching en utilisant Patch Manager
](#how-klp-works)
+ [

# Activez Kernel Live Patching en utilisant Run Command
](enable-klp.md)
+ [

# Application des correctifs à chaud du noyau à l'aide de Run Command
](install-klp.md)
+ [

# Désactiver Kernel Live Patching en utilisant Run Command
](disable-klp.md)

## Kernel Live Patching  utilisant  Patch Manager
<a name="about-klp"></a>

Mise à jour de la version du noyau  
Il n'est pas nécessaire de redémarrer un nœud géré après avoir appliqué un correctif à chaud du noyau. Cependant, AWS fournit des correctifs dynamiques du noyau pour une version du noyau Amazon Linux 2 jusqu'à trois mois après sa sortie. Après la période de 3 mois, vous devez effectuer une mise à jour vers une version ultérieure du noyau pour continuer à recevoir les correctifs à chaud du noyau. Nous vous recommandons d'utiliser une fenêtre de maintenance pour planifier un redémarrage de votre nœud au moins une fois tous les trois mois afin de demander la mise à jour de la version du noyau.

Désinstallation des correctifs live du noyau  
Les correctifs live du noyau ne peuvent pas être désinstallés à l'aide de Patch Manager. Au lieu de cela, vous pouvez désactiver Kernel Live Patching, ce qui supprime les packages RPM pour les correctifs live du noyau appliqués. Pour de plus amples informations, veuillez consulter [Désactiver Kernel Live Patching en utilisant Run Command](disable-klp.md).

Conformité du noyau  
Dans certains cas, l'installation de tous les correctifs CVE à partir de correctifs live pour la version actuelle du noyau peut amener ce noyau dans le même état de conformité qu'une version plus récente du noyau. La version la plus récente est alors signalée comme `Installed`, tandis que le nœud géré est signalé comme `Compliant`. Cependant, aucune heure d'installation n'est signalée pour la version plus récente du noyau.

Un correctif dynamique pour le noyau, plusieurs CVEs  
Si un correctif actif du noyau en adresse plusieurs CVEs et CVEs que celles-ci ont des valeurs de classification et de gravité différentes, seules les catégories et les niveaux de gravité les plus élevés CVEs sont signalées pour le correctif. 

Le reste de cette section explique comment utiliser Patch Manager pour appliquer les correctifs à chaud du noyau aux nœuds gérés qui répondent à ces exigences.

## Fonctionnement de Kernel Live Patching en utilisant Patch Manager
<a name="how-klp-works"></a>

AWS publie deux types de correctifs dynamiques du noyau pour Amazon Linux 2 : des mises à jour de sécurité et des corrections de bogues. Pour appliquer ces types de correctifs, vous utilisez un document de référentiel de correctifs qui cible uniquement les classifications et les sévérités répertoriées dans le tableau suivant.


| Classification | Sévérité | 
| --- | --- | 
| Security | Critical, Important | 
| Bugfix | All | 

Vous pouvez créer une ligne de base de correctifs personnalisée qui cible uniquement ces correctifs, ou utiliser la ligne de base de correctifs `AWS-AmazonLinux2DefaultPatchBaseline` prédéfinie. En d'autres termes, vous pouvez utiliser `AWS-AmazonLinux2DefaultPatchBaseline` avec les nœuds gérés Amazon Linux 2 sur lesquels Kernel Live Patching est activé. Les mises à jour à chaud du noyau seront alors appliquées.

**Note**  
La `AWS-AmazonLinux2DefaultPatchBaseline` configuration indique une période d'attente de 7 jours après la publication ou la dernière mise à jour d'un correctif avant son installation automatique. Si vous ne voulez pas attendre 7 jours pour que les correctifs en direct du noyau soient automatiquement approuvés, vous pouvez créer et utiliser une base de correctifs personnalisée. Dans votre référentiel de correctifs, vous pouvez spécifier une période d'attente d'approbation automatique nulle ou plus courte ou plus longue. Pour de plus amples informations, veuillez consulter [Utilisation des référentiels de correctifs personnalisés](patch-manager-manage-patch-baselines.md).

Nous vous recommandons la stratégie suivante pour appliquer les mises à jour à chaud du noyau sur vos nœuds gérés :

1. Activez Kernel Live Patching sur vos nœuds gérés Amazon Linux 2.

1. Utilisez Run Command un outil pour exécuter une `Scan` opération sur vos nœuds gérés à l'aide de la ligne de base de correctifs prédéfinie `AWS-AmazonLinux2DefaultPatchBaseline` ou personnalisée qui cible également uniquement les `Security` mises à jour dont le niveau de gravité est classé comme `Critical` et`Important`, et le niveau de `Bugfix` gravité de`All`. AWS Systems Manager

1. Utilisez Compliance, un outil intégré AWS Systems Manager, pour vérifier si une non-conformité en matière de correctifs est signalée pour l'un des nœuds gérés qui ont été scannés. Si tel est le cas, consultez les détails de conformité du nœud pour déterminer s'il manque des correctifs à chaud du noyau dans le nœud géré.

1. Pour installer les correctifs live du noyau manquants, utilisez Run Command avec la même ligne de base que celle spécifiée précédemment, mais cette fois exécutez une opération `Install` au lieu d'une opération `Scan`.

   Comme les correctifs live du noyau sont installés sans avoir à redémarrer, vous pouvez choisir l'option de redémarrage `NoReboot` pour cette opération. 
**Note**  
Vous pouvez toujours redémarrer le nœud géré si d'autres types de correctifs installés sur celui-ci l'exigent, ou si vous souhaitez procéder à une mise à jour vers un noyau plus récent. Dans ces cas, sélectionnez plutôt l'option de redémarrage `RebootIfNeeded`.

1. Revenez à Conformité pour vérifier que les correctifs live du noyau ont été installés.

# Activez Kernel Live Patching en utilisant Run Command
<a name="enable-klp"></a>

Pour activer Kernel Live Patching, vous pouvez exécuter des commandes `yum` sur vos nœuds gérés, ou utiliser Run Command et un document Systems Manager (document SSM) créé par vos soins.

Pour obtenir des informations sur l’activation de Kernel Live Patching en exécutant des commandes `yum` directement sur le nœud géré, consultez [Activation de Kernel Live Patching](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-prereq) dans le *Guide de l’utilisateur Amazon EC2*.

**Note**  
Lorsque vous activez Kernel Live Patching, si le noyau exécuté sur le nœud géré est *antérieur* à `kernel-4.14.165-131.185.amzn2.x86_64` (version minimale prise en charge), le processus installe la dernière version disponible du noyau et redémarre le nœud géré. Si le nœud exécute déjà `kernel-4.14.165-131.185.amzn2.x86_64` ou une version ultérieure, le processus n'installe pas de version plus récente et ne redémarre pas le nœud.

**Pour activer Kernel Live Patching en utilisant Run Command (console)**

1. Ouvrez la console AWS Systems Manager à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Run Command**.

1. Sélectionnez **Run Command (Exécuter la commande)**.

1. Dans la liste **Documents de commande**, sélectionnez le document SSM personnalisé `AWS-ConfigureKernelLivePatching`.

1. Dans la section **Command parameters (Paramètres de commande)**, indiquez si vous souhaitez redémarrer les nœuds gérés dans le cadre de cette opération.

1. Pour de plus amples informations sur l'utilisation des contrôles restants de cette page, veuillez consulter [Exécution des commande à partir de la console](running-commands-console.md).

1. Cliquez sur **Exécuter**.

**Pour activer Kernel Live Patching (AWS CLI)**
+ Exécutez la commande suivante sur votre machine locale.

------
#### [ Linux & macOS ]

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureKernelLivePatching" \
      --parameters "EnableOrDisable=Enable" \
      --targets "Key=instanceids,Values=instance-id"
  ```

------
#### [ Windows Server ]

  ```
  aws ssm send-command ^
      --document-name "AWS-ConfigureKernelLivePatching" ^
      --parameters "EnableOrDisable=Enable" ^
      --targets "Key=instanceids,Values=instance-id"
  ```

------

  Remplacez *instance-id* par l'ID du nœud géré Amazon Linux 2 sur lequel vous souhaitez activer la fonction, par exemple, i-02573cafcfEXAMPLE. Pour activer la fonction sur plusieurs nœuds gérés, vous pouvez utiliser l'un des formats suivants.
  + `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
  + `--targets "Key=tag:tag-key,Values=tag-value"`

  Pour obtenir des informations sur les autres options possibles avec la commande, veuillez consulter [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) dans la *Référence des commandes AWS CLI*.

# Application des correctifs à chaud du noyau à l'aide de Run Command
<a name="install-klp"></a>

Pour appliquer des correctifs à chaud du noyau, vous pouvez exécuter des commandes `yum` sur vos nœuds gérés, ou utiliser Run Command et le document SSM `AWS-RunPatchBaseline`. 

Pour obtenir des informations sur l’application des correctifs à chaud du noyau en exécutant des commandes `yum` directement sur le nœud géré, consultez [Application des correctifs à chaud du noyau](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-apply) dans le *Guide de l’utilisateur Amazon EC2*.

**Pour appliquer des correctifs live du noyau à l'aide de Run Command (console)**

1. Ouvrez la console AWS Systems Manager à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Run Command**.

1. Sélectionnez **Run Command (Exécuter la commande)**.

1. Dans la liste **Command document (Document Command)**, sélectionnez un document `AWS-RunPatchBaseline`.

1. Dans la section **Paramètres de commande** effectuez l'une des opérations suivantes :
   + Si vous vérifiez si de nouveaux correctifs live du noyau sont disponibles, pour **Opération (Opération)**, sélectionnez `Scan`. Dans **Reboot Option (Option de redémarrage)**, sélectionnez `NoReboot` si vous ne souhaitez pas redémarrer vos nœuds gérés à l'issue de cette opération. Une fois l'opération terminée, vous pouvez vérifier les nouveaux correctifs et l'état de conformité dans Compliance.
   + Si vous avez déjà vérifié la conformité des correctifs et que vous êtes prêt à appliquer les correctifs live du noyau disponibles, pour **Opération**, sélectionnez `Install`. Dans **Reboot Option (Option de redémarrage)**, sélectionnez `NoReboot` si vous ne souhaitez pas redémarrer vos nœuds gérés à l'issue de cette opération.

1. Pour de plus amples informations sur l'utilisation des contrôles restants de cette page, veuillez consulter [Exécution des commande à partir de la console](running-commands-console.md).

1. Cliquez sur **Exécuter**.

**Pour appliquer des correctifs live du noyau à l'aide de Run Command (AWS CLI)**

1. Pour effectuer une opération `Scan` avant de vérifier vos résultats dans Compliance, exécutez la commande suivante à partir de votre machine locale.

------
#### [ Linux & macOS ]

   ```
   aws ssm send-command \
       --document-name "AWS-RunPatchBaseline" \
       --targets "Key=InstanceIds,Values=instance-id" \
       --parameters '{"Operation":["Scan"],"RebootOption":["RebootIfNeeded"]}'
   ```

------
#### [ Windows Server ]

   ```
   aws ssm send-command ^
       --document-name "AWS-RunPatchBaseline" ^
       --targets "Key=InstanceIds,Values=instance-id" ^
       --parameters {\"Operation\":[\"Scan\"],\"RebootOption\":[\"RebootIfNeeded\"]}
   ```

------

   Pour obtenir des informations sur les autres options possibles avec la commande, veuillez consulter [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) dans la *Référence des commandes AWS CLI*.

1. Pour effectuer une opération `Install` après avoir vérifié vos résultats dans Compliance, exécutez la commande suivante à partir de votre machine locale.

------
#### [ Linux & macOS ]

   ```
   aws ssm send-command \
       --document-name "AWS-RunPatchBaseline" \
       --targets "Key=InstanceIds,Values=instance-id" \
       --parameters '{"Operation":["Install"],"RebootOption":["NoReboot"]}'
   ```

------
#### [ Windows Server ]

   ```
   aws ssm send-command ^
       --document-name "AWS-RunPatchBaseline" ^
       --targets "Key=InstanceIds,Values=instance-id" ^
       --parameters {\"Operation\":[\"Install\"],\"RebootOption\":[\"NoReboot\"]}
   ```

------

Dans les deux commandes précédentes, remplacez *instance-id* par l'ID du nœud géré Amazon Linux 2 sur lequel vous souhaitez appliquer des correctifs à chaud du noyau, par exemple i-02573cafcfEXAMPLE. Pour activer la fonction sur plusieurs nœuds gérés, vous pouvez utiliser l'un des formats suivants.
+ `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
+ `--targets "Key=tag:tag-key,Values=tag-value"`

Pour obtenir des informations sur les autres options possibles avec ces commandes, veuillez consulter [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) dans la *Référence des commandes AWS CLI*.

# Désactiver Kernel Live Patching en utilisant Run Command
<a name="disable-klp"></a>

Pour désactiver Kernel Live Patching, vous pouvez exécuter des commandes `yum` sur vos nœuds gérés, ou utiliser Run Command et un document SSM `AWS-ConfigureKernelLivePatching` personnalisé.

**Note**  
Si vous n'avez plus besoin d'utiliser Kernel Live Patching, vous pouvez le désactiver à tout moment. Dans la plupart des cas, la désactivation de la fonction n'est pas nécessaire.

Pour obtenir des informations sur la désactivation de Kernel Live Patching en exécutant des commandes `yum` directement sur le nœud géré, consultez [Activation de Kernel Live Patching](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-enable) dans le *Guide de l’utilisateur Amazon EC2*.

**Note**  
Lorsque vous désactivez Kernel Live Patching, le processus désinstalle le plugin Kernel Live Patching, puis redémarre le nœud géré.

**Pour désactiver Kernel Live Patching en utilisant Run Command (console)**

1. Ouvrez la console AWS Systems Manager à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Run Command**.

1. Sélectionnez **Run Command (Exécuter la commande)**.

1. Dans la liste **Command document (Document Command)**, sélectionnez un document `AWS-ConfigureKernelLivePatching`.

1. Dans la section **Command parameters (Paramètres de la commande)**, indiquez des valeurs pour les paramètres requis.

1. Pour de plus amples informations sur l'utilisation des contrôles restants de cette page, veuillez consulter [Exécution des commande à partir de la console](running-commands-console.md).

1. Cliquez sur **Exécuter**.

**Pour désactiver Kernel Live Patching (AWS CLI)**
+ Exécutez une commande similaire à la suivante.

------
#### [ Linux & macOS ]

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureKernelLivePatching" \
      --targets "Key=instanceIds,Values=instance-id" \
      --parameters "EnableOrDisable=Disable"
  ```

------
#### [ Windows Server ]

  ```
  aws ssm send-command ^
      --document-name "AWS-ConfigureKernelLivePatching" ^
      --targets "Key=instanceIds,Values=instance-id" ^
      --parameters "EnableOrDisable=Disable"
  ```

------

  Remplacez *instance-id* par l'ID du nœud géré Amazon Linux 2 sur lequel vous souhaitez désactiver la fonction, par exemple i-02573cafcfEXAMPLE. Pour désactiver la fonction sur plusieurs nœuds gérés, vous pouvez utiliser l'un des formats suivants.
  + `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
  + `--targets "Key=tag:tag-key,Values=tag-value"`

  Pour obtenir des informations sur les autres options possibles avec la commande, veuillez consulter [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) dans la *Référence des commandes AWS CLI*.