Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Documents de commande SSM pour l’application de correctifs sur les nœuds gérés
Cette rubrique décrit les neuf documents Systems Manager (documents SSM) actuellement disponibles pour vous aider à appliquer les dernières mises à jour de sécurité à vos nœuds gérés.
Nous vous recommandons d'utiliser cinq de ces documents seulement pour vos opérations d'application de correctifs. Conjointement, ces cinq documents SSM vous fournissent une gamme complète d'options de correctifs à l'aide d' AWS Systems Manager. Quatre de ces documents ont été publiés plus tard que les quatre documents SSM existants qu'ils remplacent et représentent les développements ou consolidations de fonctionnalités.
Documents SSM recommandés pour l’application de correctifs
Nous vous recommandons d’utiliser les cinq documents SSM suivants pour vos opérations de correctifs.
-
AWS-ConfigureWindowsUpdate
-
AWS-InstallWindowsUpdates
-
AWS-RunPatchBaseline
-
AWS-RunPatchBaselineAssociation
-
AWS-RunPatchBaselineWithHooks
Documents SSM hérités pour l’application de correctifs
Les quatre documents SSM hérités suivants peuvent encore être utilisés dans certaines Régions AWS , mais ils ne sont plus mis à jour, leur fonctionnement n’est pas garanti dans tous les scénarios et ils pourraient ne plus être pris en charge à l’avenir. Nous vous recommandons de ne pas les utiliser dans vos opérations de correctifs.
-
AWS-ApplyPatchBaseline
-
AWS-FindWindowsUpdates
-
AWS-InstallMissingWindowsUpdates
-
AWS-InstallSpecificWindowsUpdates
Consultez les sections suivantes pour plus d'informations sur l'utilisation de ces documents SSM lors de vos opérations d'application de correctifs.
Rubriques
- Documents SSM recommandés pour l'application de correctifs aux nœuds gérés
- Documents SSM hérités pour l'application de correctifs aux nœuds gérés
- Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaseline
- Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaselineAssociation
- Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaselineWithHooks
- Exemple de scénario d'utilisation du InstallOverrideList paramètre dans AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation
- Utilisation du paramètre BaselineOverride
Documents SSM recommandés pour l'application de correctifs aux nœuds gérés
L'utilisation des cinq documents SSM suivants est recommandée pour l'application de correctifs aux nœuds gérés.
Documents SSM recommandés
AWS-ConfigureWindowsUpdate
Prend en charge la configuration des fonctions de base de Windows Update et leur utilisation pour installer les mises à jour automatiquement (ou pour désactiver les mises à jour automatiques). Disponible dans toutes les Régions AWS.
Ce document SSM invite Windows Update à télécharger et installer les mises à jour spécifiées et à redémarrer les nœuds gérés, selon les besoins. Utilisez ce document avec State Manager, un outil intégré AWS Systems Manager, pour garantir que Windows Update conserve sa configuration. Vous pouvez également l'exécuter manuellement à l'aide de Run Command, un outil dans AWS Systems Manager, permettant de modifier la configuration de Windows Update.
Les paramètres disponibles dans ce document prennent en charge la spécification d'une catégorie de mises à jour à installer (ou si les mises à jour automatiques doivent être désactivées), ainsi que la spécification du jour de la semaine et l'heure de la journée pour exécuter les opérations d'application des correctifs. Ce document SSM est particulièrement utile si vous n'avez pas besoin de contrôler strictement les mises à jour Windows et si vous n'avez pas besoin de collecter des informations de conformité.
Remplace les documents SSM existants :
-
Aucun
AWS-InstallWindowsUpdates
Installe les mises à jour sur un Windows Server nœud géré. Disponible dans toutes les Régions AWS.
Ce document SSM fournit des fonctionnalités de correctifs de base pour les cas suivants : lorsque vous souhaitez installer une mise à jour spécifique (à l'aide du paramètre Include Kbs
) ou installer des correctifs avec les classifications ou catégories spécifiques, mais si vous n'avez pas besoin des informations de conformité des correctifs.
Remplace les documents SSM existants :
-
AWS-FindWindowsUpdates
-
AWS-InstallMissingWindowsUpdates
-
AWS-InstallSpecificWindowsUpdates
Les trois documents existants réalisent différentes fonctions, mais vous pouvez obtenir les mêmes résultats en utilisant différents paramètres avec le nouveau document SSM AWS-InstallWindowsUpdates
. La configuration des paramètres est décrite dans Documents SSM hérités pour l'application de correctifs aux nœuds gérés.
AWS-RunPatchBaseline
Installe des correctifs sur vos nœuds gérés ou analyse les nœuds pour déterminer s'il manque des correctifs qualifiés. Disponible dans toutes les Régions AWS.
AWS-RunPatchBaseline
vous permet de contrôler les approbations de correctifs à l'aide du référentiel de correctifs spécifié « par défaut » pour un type de système d'exploitation. informations de conformité des correctifs que vous pouvez consulter à l'aide des outils de conformité Systems Manager. Ces outils vous fournissent des informations sur l'état de conformité de vos nœuds gérés en matière de correctifs, comme les nœuds auxquels il manque des correctifs et la nature de ces correctifs. Lorsque vous utilisez AWS-RunPatchBaseline
, les informations de conformité des correctifs sont enregistrées à l'aide de la commande d'API PutInventory
. Pour les systèmes d'exploitation Linux, des informations de conformité sont fournies sur les correctifs provenant à la fois du référentiel source par défaut configuré sur un nœud géré et de tout autre référentiel source spécifié par vos soins dans un référentiel de correctifs personnalisé. Pour en savoir plus sur les autres référentiels source, consultez Spécification d'un autre référentiel source de correctifs (Linux). Pour plus d'informations sur les outils de conformité Systems Manager, consultez Conformité d'AWS Systems Manager.
Remplace les documents existants :
-
AWS-ApplyPatchBaseline
L'ancien document AWS-ApplyPatchBaseline
s'applique uniquement à Windows Server nœuds gérés, et ne fournit pas de support pour l'application de correctifs. Le nouveau document AWS-RunPatchBaseline
fournit le même support pour les systèmes Windows et Linux. Version 2.0.834.0 ou ultérieure de SSM Agent est nécessaire pour utiliser le AWS-RunPatchBaseline
document.
Pour plus d'informations sur le document SSM AWS-RunPatchBaseline
, consultez Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaseline.
AWS-RunPatchBaselineAssociation
Installe les correctifs sur les instances ou analyse les instances afin de déterminer s'il manque des correctifs qualifiés. Disponible dans toutes les Régions AWS commerciales.
Des différences importantes distinguent AWS-RunPatchBaselineAssociation
de AWS-RunPatchBaseline
:
-
AWS-RunPatchBaselineAssociation
est destiné à être utilisé principalement avec State Manager associations créées à l'aide de Quick Setup, un outil dans AWS Systems Manager. Plus précisément, lorsque vous utilisez le Quick Setup Type de configuration de gestion de l'hôte, si vous choisissez l'option Analyser les instances pour détecter les correctifs manquants tous les jours, le systèmeAWS-RunPatchBaselineAssociation
les utilise pour l'opération.Dans la plupart des cas, cependant, lors de la configuration de vos propres opérations d'application de correctifs, sélectionnez AWS-RunPatchBaseline ou AWS-RunPatchBaselineWithHooks de préférence à
AWS-RunPatchBaselineAssociation
.Pour plus d'informations, consultez les rubriques suivantes :
-
AWS-RunPatchBaselineAssociation
prend en charge l'utilisation de balises pour identifier le référentiel de correctifs à utiliser avec un ensemble de cibles lors de son exécution. -
Pour les opérations d'application de correctifs qui utilisent
AWS-RunPatchBaselineAssociation
, les données de conformité des correctifs sont compilées en termes de State Manager association. Les données sur la conformité des correctifs collectées lorsqueAWS-RunPatchBaselineAssociation
s'exécute sont enregistrées avec la commande d'APIPutComplianceItems
plutôt qu'avecPutInventory
. De cette façon, les données de conformité qui ne sont pas associées à cette association particulière ne sont pas écrasées.Pour les systèmes d'exploitation Linux, des informations de conformité sont fournies pour les correctifs à la fois par le référentiel source par défaut configuré sur une instance et par les autres référentiels source que vous spécifiez dans un référentiel de correctifs personnalisée. Pour en savoir plus sur les autres référentiels source, consultez Spécification d'un autre référentiel source de correctifs (Linux). Pour plus d'informations sur les outils de conformité Systems Manager, consultez Conformité d'AWS Systems Manager.
Remplace les documents existants :
-
Aucun
Pour plus d'informations sur le document SSM AWS-RunPatchBaselineAssociation
, consultez Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaselineAssociation.
AWS-RunPatchBaselineWithHooks
Installe les correctifs sur vos nœuds gérés, ou analyse les nœuds afin de déterminer s'il manque des correctifs qualifiés, avec des hooks facultatifs que vous pouvez utiliser pour exécuter des documents SSM à trois stades du cycle d'application des correctifs. Disponible dans toutes les Régions AWS commerciales. Non pris en charge sur macOS.
AWS-RunPatchBaselineWithHooks
diffère de AWS-RunPatchBaseline
par son opération Install
.
AWS-RunPatchBaselineWithHooks
prend en charge les hooks de cycle de vie qui s'exécutent aux stades désignés lors de l'application de correctifs sur des nœuds gérés. Comme l'installation des correctifs exige parfois le redémarrage des nœuds gérés, l'opération d'application des correctifs se décompose en deux événements, pour un total de trois hooks qui prennent en charge la fonctionnalité personnalisée. Le premier hook précède l'opération Install with NoReboot
. Le deuxième hook suit l'opération Install with NoReboot
. Le troisième hook est disponible après le redémarrage du nœud.
Remplace les documents existants :
-
Aucun
Pour plus d'informations sur le document SSM AWS-RunPatchBaselineWithHooks
, consultez Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaselineWithHooks.
Documents SSM hérités pour l'application de correctifs aux nœuds gérés
Les quatre documents SSM suivants sont encore disponibles dans certaines Régions AWS. Cependant, ils ne sont plus mis à jour et pourraient ne plus être pris en charge à l’avenir, c’est pourquoi nous ne recommandons pas leur utilisation. Utilisez plutôt les documents décrits dans Documents SSM recommandés pour l'application de correctifs aux nœuds gérés.
Documents SSM existants
AWS-ApplyPatchBaseline
Supports uniquement Windows Server nœuds gérés, mais n'inclut pas la prise en charge des applications d'application de correctifs qui figure dans son remplacement,AWS-RunPatchBaseline
. Non disponible en cas de Régions AWS lancement après août 2017.
Note
Le remplacement de ce document SSM nécessite la version 2.0.834.0 ou une version ultérieure de AWS-RunPatchBaseline
SSM Agent. Vous pouvez utiliser le AWS-UpdateSSMAgent
document pour mettre à jour vos nœuds gérés avec la dernière version de l'agent.
AWS-FindWindowsUpdates
Remplacé par AWS-InstallWindowsUpdates
, qui peut effectuer toutes les mêmes actions. Non disponible en cas de Régions AWS lancement après avril 2017.
Pour obtenir le même résultat qu'avec le document SSM existant, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé, AWS-InstallWindowsUpdates
:
-
Action
=Scan
-
Allow Reboot
=False
AWS-InstallMissingWindowsUpdates
Remplacé par AWS-InstallWindowsUpdates
, qui peut effectuer toutes les mêmes actions. Non disponible dans les versions Régions AWS lancées après avril 2017.
Pour obtenir le même résultat qu'avec le document SSM existant, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé, AWS-InstallWindowsUpdates
:
-
Action
=Install
-
Allow Reboot
=True
AWS-InstallSpecificWindowsUpdates
Remplacé par AWS-InstallWindowsUpdates
, qui peut effectuer toutes les mêmes actions. Non disponible dans les versions Régions AWS lancées après avril 2017.
Pour obtenir le même résultat qu'avec le document SSM existant, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé, AWS-InstallWindowsUpdates
:
-
Action
=Install
-
Allow Reboot
=True
-
Include Kbs
=comma-separated list of KB articles