Application de correctifs sur les nœuds gérés à la demande - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Application de correctifs sur les nœuds gérés à la demande

Utilisation de l'option Patch now dans Patch Manager, une fonctionnalité permettant d' AWS Systems Manager exécuter des opérations de correction à la demande depuis la console Systems Manager. Cela signifie que vous n'avez pas à créer de calendrier pour mettre à jour le statut de conformité de vos nœuds gérés ou pour installer des correctifs sur les nœuds non conformes. Vous n'avez pas non plus besoin de passer de la console Systems Manager entre Patch Manager and Maintenance Windows, une fonctionnalité de AWS Systems Manager, afin de configurer ou de modifier une fenêtre d'application de correctifs planifiée.

L'option Patch now (Appliquer les correctifs maintenant) est particulièrement utile lorsque vous devez appliquer des mises à jour « zéro jour » ou installer d'autres correctifs critiques sur vos nœuds gérés dans les plus brefs délais.

Note

L'application de correctifs à la demande est prise en charge pour une seule Compte AWSRégion AWS paire à la fois. Elle ne peut pas être utilisée avec des opérations d'application de correctifs basées sur des politiques de correctif. Nous vous recommandons d'utiliser des politiques de correctif pour garantir la conformité de tous vos nœuds gérés. Pour plus d'informations sur l'utilisation des politiques de correctifs, consultez la rubrique Configurations des politiques de correctifs dans Quick Setup.

Fonctionnement de l'option « Corriger maintenant »

Pour exécuter l'option Corriger maintenant, vous devez spécifier deux paramètres obligatoires seulement :

  • La simple recherche des correctifs manquants, ou l'analyse et l'installation des correctifs sur vos nœuds gérés

  • Les nœuds gérés sur lesquels exécuter l'opération

Lorsque l'opération Patch now (Appliquer les correctifs maintenant) s'exécute, elle détermine le référentiel de correctifs à utiliser, comme pour les autres opérations d'application de correctifs. Si un nœud géré est associé à un groupe de correctifs, le référentiel de correctifs spécifié pour ce groupe est utilisé. Si le nœud géré n'est associé à aucun groupe de correctifs, l'opération utilise le référentiel de correctifs défini par défaut pour le type de système d'exploitation du nœud géré. Il peut s'agir d'un référentiel prédéfini ou du référentiel personnalisé que vous avez défini par défaut. Pour plus d'informations sur la sélection du référentiel de correctifs, consultez Groupes de correctifs.

Les options que vous pouvez spécifier pour Patch now incluent le choix du moment ou de l'opportunité de redémarrer les nœuds gérés après l'application du correctif, la spécification d'un bucket Amazon Simple Storage Service (Amazon S3) pour stocker les données du journal pour l'opération d'application des correctifs, et l'exécution des documents Systems Manager SSM (documents) en tant que crochets du cycle de vie lors de l'application des correctifs.

Seuils de simultanéité et d'erreur pour l'option « Corriger maintenant »

Pour les opérations Patch now, les options de simultanéité et de seuil d'erreur sont gérées par Patch Manager. Il n'est pas nécessaire de spécifier le nombre de nœuds gérés à appliquer en même temps, ni le nombre d'erreurs autorisées avant que l'opération n'échoue. Patch Manager applique les paramètres de simultanéité et de seuil d'erreur décrits dans les tableaux suivants lorsque vous appliquez un correctif à la demande.

Important

Les seuils suivants s'appliquent aux opérations Scan and install uniquement. Pour les Scan opérations, Patch Manager tente de scanner jusqu'à 1 000 nœuds simultanément et de poursuivre l'analyse jusqu'à ce qu'elle rencontre jusqu'à 1 000 erreurs.

Concurrences : opérations d'installation
Nombre total de nœuds gérés associés à l'opération Patch now (Appliquer les correctifs maintenant) Nombre de nœuds gérés analysés ou corrigés simultanément
Moins de 25 1
25 à 100 5 %
101 à 1 000 8 %
Plus de 1 000 10 %
Seuil d'erreur : opérations d'installation
Nombre total de nœuds gérés associés à l'opération Patch now (Appliquer les correctifs maintenant) Nombre d'erreurs autorisées avant que l'opération échoue
Moins de 25 1
25 à 100 5
101 à 1 000 10
Plus de 1 000 10

Utilisation des hooks de cycle de vie « Corriger maintenant »

Patch vous permet désormais d'exécuter des documents de SSM commande en tant que crochets du cycle de vie lors d'une opération d'application de Install correctifs. Vous pouvez utiliser ces hooks pour des tâches telles que l'arrêt des applications avant l'application de correctifs ou l'exécution de surveillances de l'état de vos applications après l'application de correctifs ou après un redémarrage.

Pour plus d'informations sur l'utilisation des hooks de cycle de vie, consultez SSMDocument de commande pour l'application de correctifs : AWS-RunPatchBaselineWithHooks.

Le tableau suivant répertorie les hooks de cycle de vie disponibles pour chacun des trois options Corriger maintenant, ainsi que des exemples d'utilisation pour chaque hook.

Hooks de cycle de vie et exemples d'utilisation
Option de redémarrage Hook : avant l'installation Hook : après l'installation Hook : à la sortie Hook : après le redémarrage planifié
Redémarrer si nécessaire

Exécutez un SSM document avant le début de l'application des correctifs.

Exemple d'utilisation : arrêtez les applications en toute sécurité avant le début du processus d'application des correctifs.

Exécutez un SSM document à la fin de l'opération d'application des correctifs et avant le redémarrage du nœud géré.

Exemple d'utilisation : exécutez des opérations telles que l'installation d'applications tierces avant un redémarrage potentiel.

Exécutez un SSM document une fois l'opération de correction terminée et les instances redémarrées.

Exemple d'utilisation : vérifiez que les applications s'exécutent comme prévu après l'application des correctifs.

Non disponible
Ne pas redémarrer mes instances Idem ci-dessus.

Exécutez un SSM document à la fin de l'opération de correction.

Exemple d'utilisation : vérifiez que les applications s'exécutent comme prévu après l'application des correctifs.

Non disponible

Non disponible

Planifier une heure de redémarrage Idem ci-dessus. Identique à Ne pas redémarrer mes instances. Non disponible

Exécutez un SSM document immédiatement après la fin d'un redémarrage planifié.

Exemple d'utilisation : vérifiez que les applications s'exécutent comme prévu après le redémarrage.

Exécution de l'option « Corriger maintenant »

Procédez comme suit pour appliquer des correctifs à la demande à vos nœuds gérés.

Pour exécuter l'option « Corriger maintenant »
  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le volet de navigation, choisissez Patch Manager.

  3. Sélectionnez Corriger maintenant.

  4. Pour Opération d'application des correctifs, sélectionnez l'une des options suivantes :

    • Numériser : Patch Manager trouve les correctifs manquants dans vos nœuds gérés, mais ne les installe pas. Vous pouvez afficher les résultats dans le tableau de bord Compliance ou dans les autres outils que vous utilisez pour afficher la conformité des correctifs.

    • Scannez et installez : Patch Manager trouve les correctifs manquants dans vos nœuds gérés et les installe.

  5. Effectuez cette étape uniquement si vous avez choisi Analyser et installer à l'étape précédente. Pour Reboot option (Option de redémarrage), sélectionnez l'une des options suivantes :

    • Redémarrez si nécessaire : après l'installation, Patch Manager redémarre les nœuds gérés uniquement si cela est nécessaire pour terminer l'installation d'un correctif.

    • Ne redémarrez pas mes instances : après l'installation, Patch Manager ne redémarre pas les nœuds gérés. Vous pouvez redémarrer les nœuds manuellement lorsque vous choisissez ou gérez des redémarrages en dehors de Patch Manager.

    • Planifier une heure de redémarrage : spécifiez la date, l'heure et UTC le fuseau horaire pour Patch Manager pour redémarrer vos nœuds gérés. Après avoir exécuté l'opération Patch now, le redémarrage planifié est répertorié sous forme d'association dans State Manager avec le nomAWS-PatchRebootAssociation.

  6. Pour Instances to patch (Instances à corriger), sélectionnez l'une des options suivantes :

    • Corrigez toutes les instances : Patch Manager exécute l'opération spécifiée sur tous les nœuds gérés de votre Compte AWS compte en cours Région AWS.

    • Patch only the target instances I specify (N'appliquer les correctifs que sur les instances cibles que je spécifie) : vous spécifiez les nœuds gérés à cibler à l'étape suivante.

  7. Utilisez cette étape uniquement si vous avez choisi Corriger seulement les instances cibles que je spécifie à l'étape précédente. Dans la section Target selection (Sélection de la cible), identifiez les nœuds sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant les nœuds manuellement ou en spécifiant un groupe de ressources.

    Note

    Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez Résolution des problèmes de disponibilité des nœuds gérés pour obtenir des conseils de dépannage.

    Si vous choisissez de cibler un groupe de ressources, notez que les groupes de ressources basés sur une AWS CloudFormation pile doivent toujours être étiquetés avec la aws:cloudformation:stack-id balise par défaut. S'il a été retiré, Patch Manager peut ne pas être en mesure de déterminer quels nœuds gérés appartiennent au groupe de ressources.

  8. (Facultatif) Pour Stockage des journaux d'application des correctifs, si vous voulez créer et enregistrer des journaux à partir de cette opération d'application de correctifs, sélectionnez le compartiment S3 dans lequel les journaux seront stockés.

    Note

    Les autorisations S3 qui permettent d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les EC2 instances) ou du rôle de IAM service (machines activées par des hybrides) attribué à l'instance, et non celles de l'IAMutilisateur effectuant cette tâche. Pour plus d'informations, consultez Configurer les autorisations d'instance requises pour Systems Manager ou Créer le rôle de IAM service requis pour Systems Manager dans les environnements hybrides et multicloud. En outre, si le compartiment S3 spécifié se trouve dans un autre compartiment Compte AWS, assurez-vous que le profil d'instance ou le rôle de IAM service associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

  9. (Facultatif) Si vous souhaitez exécuter SSM des documents en tant que crochets du cycle de vie à des moments spécifiques de l'opération de correction, procédez comme suit :

    • Sélectionnez Utiliser des hooks de cycle de vie.

    • Pour chaque crochet disponible, sélectionnez le SSM document à exécuter au point spécifié de l'opération :

      • Avant l'installation

      • Après l'installation

      • À la sortie

      • Après le redémarrage planifié

      Note

      Le document par défaut, AWS-Noop, n'exécute aucune opération.

  10. Sélectionnez Corriger maintenant.

    La page Association execution summary (Résumé d'exécution de l'association) s'ouvre. (Le correctif utilise désormais des associations dans State Manager, une capacité de AWS Systems Manager, pour ses opérations.) Dans la zone Operation summary (Résumé de l'opération), vous pouvez surveiller le statut de l'analyse ou de l'application des correctifs sur les nœuds gérés que vous avez spécifiés.