Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
SSMDocuments de commande pour appliquer des correctifs aux nœuds gérés
Cette rubrique décrit les neuf documents de Systems Manager (SSMdocuments) disponibles pour vous aider à maintenir vos nœuds gérés à jour avec les dernières mises à jour liées à la sécurité.
Nous vous recommandons d'utiliser cinq de ces documents seulement pour vos opérations d'application de correctifs. Ensemble, ces cinq SSM documents vous fournissent une gamme complète d'options d'application de correctifs. AWS Systems Manager Quatre de ces documents ont été publiés plus tard que les quatre anciens SSM documents qu'ils remplacent et représentent des extensions ou des consolidations de fonctionnalités.
SSMDocuments recommandés pour l'application de correctifs
Nous vous recommandons d'utiliser les cinq SSM documents suivants dans le cadre de vos opérations d'application de correctifs.
-
AWS-ConfigureWindowsUpdate -
AWS-InstallWindowsUpdates -
AWS-RunPatchBaseline -
AWS-RunPatchBaselineAssociation -
AWS-RunPatchBaselineWithHooks
SSMDocuments existants pour l'application de correctifs
Les quatre anciens SSM documents suivants peuvent toujours être utilisés dans certains cas, Régions AWS mais ils ne sont plus mis à jour, leur fonctionnement n'est pas garanti dans tous les scénarios et pourrait ne plus être pris en charge à l'avenir. Nous vous recommandons de ne pas les utiliser dans le cadre de vos opérations d'application de correctifs.
-
AWS-ApplyPatchBaseline -
AWS-FindWindowsUpdates -
AWS-InstallMissingWindowsUpdates -
AWS-InstallSpecificWindowsUpdates
Reportez-vous aux sections suivantes pour plus d'informations sur l'utilisation de ces SSM documents dans le cadre de vos opérations d'application de correctifs.
Rubriques
- SSMdocuments recommandés pour appliquer des correctifs aux nœuds gérés
- SSMDocuments existants pour appliquer des correctifs aux nœuds gérés
- SSMDocument de commande pour l'application de correctifs : AWS-RunPatchBaseline
- SSMDocument de commande pour l'application de correctifs : AWS-RunPatchBaselineAssociation
- SSMDocument de commande pour l'application de correctifs : AWS-RunPatchBaselineWithHooks
- Exemple de scénario d'utilisation du InstallOverrideList paramètre dans AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation
- Utilisation du BaselineOverride paramètre
SSMdocuments recommandés pour appliquer des correctifs aux nœuds gérés
Il est recommandé d'utiliser SSM les cinq documents suivants dans le cadre de vos opérations d'application de correctifs aux nœuds gérés.
SSMDocuments recommandés
AWS-ConfigureWindowsUpdate
Prend en charge la configuration des fonctions de base de Windows Update et leur utilisation pour installer les mises à jour automatiquement (ou pour désactiver les mises à jour automatiques). Disponible dans toutes les Régions AWS.
Ce SSM document invite Windows Update à télécharger et à installer les mises à jour spécifiées et à redémarrer les nœuds gérés selon les besoins. Utilisez ce document avec State Manager, une fonctionnalité de AWS Systems Manager, pour garantir que Windows Update conserve sa configuration. Vous pouvez également l'exécuter manuellement à l'aide de Run Command, une fonctionnalité de AWS Systems Manager, pour modifier la configuration de Windows Update.
Les paramètres disponibles dans ce document prennent en charge la spécification d'une catégorie de mises à jour à installer (ou si les mises à jour automatiques doivent être désactivées), ainsi que la spécification du jour de la semaine et l'heure de la journée pour exécuter les opérations d'application des correctifs. Ce SSM document est particulièrement utile si vous n'avez pas besoin d'un contrôle strict des mises à jour Windows et si vous n'avez pas besoin de collecter des informations de conformité.
Remplace SSM les anciens documents :
-
Aucun
AWS-InstallWindowsUpdates
Installe les mises à jour sur un Windows Server nœud géré. Disponible dans toutes les Régions AWS.
Ce SSM document fournit des fonctionnalités d'application de correctifs de base dans les cas où vous souhaitez installer une mise à jour spécifique (à l'aide du Include Kbs paramètre) ou si vous souhaitez installer des correctifs avec des classifications ou des catégories spécifiques sans avoir besoin d'informations de conformité des correctifs.
Remplace SSM les anciens documents :
-
AWS-FindWindowsUpdates -
AWS-InstallMissingWindowsUpdates -
AWS-InstallSpecificWindowsUpdates
Les trois anciens documents exécutent des fonctions différentes, mais vous pouvez obtenir les mêmes résultats en utilisant des paramètres différents avec le nouveau SSM documentAWS-InstallWindowsUpdates. La configuration des paramètres est décrite dans SSMDocuments existants pour appliquer des correctifs aux nœuds gérés.
AWS-RunPatchBaseline
Installe des correctifs sur vos nœuds gérés ou analyse les nœuds pour déterminer s'il manque des correctifs qualifiés. Disponible dans toutes les Régions AWS.
AWS-RunPatchBaseline vous permet de contrôler les approbations de correctifs à l'aide du référentiel de correctifs spécifié « par défaut » pour un type de système d'exploitation. informations de conformité des correctifs que vous pouvez consulter à l'aide des outils de conformité Systems Manager. Ces outils vous fournissent des informations sur l'état de conformité de vos nœuds gérés en matière de correctifs, comme les nœuds auxquels il manque des correctifs et la nature de ces correctifs. Lorsque vous l'utilisezAWS-RunPatchBaseline, les informations de conformité des correctifs sont enregistrées à l'aide de la PutInventory API commande. Pour les systèmes d'exploitation Linux, des informations de conformité sont fournies sur les correctifs provenant à la fois du référentiel source par défaut configuré sur un nœud géré et de tout autre référentiel source spécifié par vos soins dans un référentiel de correctifs personnalisé. Pour en savoir plus sur les autres référentiels source, consultez Spécification d'un autre référentiel source de correctifs (Linux). Pour plus d'informations sur les outils de conformité Systems Manager, consultez Conformité d'AWS Systems Manager.
Remplace les documents existants :
-
AWS-ApplyPatchBaseline
L'ancien document AWS-ApplyPatchBaseline s'applique uniquement à Windows Server nœuds gérés, et ne fournit pas de support pour l'application de correctifs. Le nouveau document AWS-RunPatchBaseline fournit le même support pour les systèmes Windows et Linux. Version 2.0.834.0 ou ultérieure de SSM Agent est nécessaire pour utiliser le AWS-RunPatchBaseline document.
Pour plus d'informations sur le AWS-RunPatchBaseline SSM document, consultezSSMDocument de commande pour l'application de correctifs : AWS-RunPatchBaseline.
AWS-RunPatchBaselineAssociation
Installe les correctifs sur les instances ou analyse les instances afin de déterminer s'il manque des correctifs qualifiés. Disponible dans toutes les Régions AWS commerciales.
Des différences importantes distinguent AWS-RunPatchBaselineAssociation de AWS-RunPatchBaseline :
-
AWS-RunPatchBaselineAssociationest destiné à être utilisé principalement avec State Manager associations créées à l'aide de Quick Setup, une capacité de AWS Systems Manager. Plus précisément, lorsque vous utilisez Quick Setup Type de configuration de gestion de l'hôte, si vous choisissez l'option Analyser les instances pour détecter les correctifs manquants tous les jours, le systèmeAWS-RunPatchBaselineAssociationles utilise pour l'opération.Dans la plupart des cas, cependant, lors de la configuration de vos propres opérations d'application de correctifs, sélectionnez AWS-RunPatchBaseline ou AWS-RunPatchBaselineWithHooks de préférence à
AWS-RunPatchBaselineAssociation.Pour plus d'informations, consultez les rubriques suivantes :
-
AWS-RunPatchBaselineAssociationprend en charge l'utilisation de balises pour identifier le référentiel de correctifs à utiliser avec un ensemble de cibles lors de son exécution. -
Pour les opérations d'application de correctifs qui utilisent
AWS-RunPatchBaselineAssociation, les données de conformité des correctifs sont compilées en termes de State Manager association. Les données de conformité des correctifs collectées lors desAWS-RunPatchBaselineAssociationexécutions sont enregistrées à l'aide de laPutComplianceItemsAPI commande plutôt que de laPutInventorycommande. De cette façon, les données de conformité qui ne sont pas associées à cette association particulière ne sont pas écrasées.Pour les systèmes d'exploitation Linux, des informations de conformité sont fournies pour les correctifs à la fois par le référentiel source par défaut configuré sur une instance et par les autres référentiels source que vous spécifiez dans un référentiel de correctifs personnalisée. Pour en savoir plus sur les autres référentiels source, consultez Spécification d'un autre référentiel source de correctifs (Linux). Pour plus d'informations sur les outils de conformité Systems Manager, consultez Conformité d'AWS Systems Manager.
Remplace les documents existants :
-
Aucun
Pour plus d'informations sur le AWS-RunPatchBaselineAssociation SSM document, consultezSSMDocument de commande pour l'application de correctifs : AWS-RunPatchBaselineAssociation.
AWS-RunPatchBaselineWithHooks
Installe des correctifs sur vos nœuds gérés ou scanne les nœuds pour déterminer s'il manque des correctifs qualifiés, avec des hooks optionnels que vous pouvez utiliser pour exécuter SSM des documents à trois moments du cycle d'application des correctifs. Disponible dans toutes les Régions AWS commerciales. Non pris en charge sur macOS.
AWS-RunPatchBaselineWithHooks diffère de AWS-RunPatchBaseline par son opération Install.
AWS-RunPatchBaselineWithHooks prend en charge les hooks de cycle de vie qui s'exécutent aux stades désignés lors de l'application de correctifs sur des nœuds gérés. Comme l'installation des correctifs exige parfois le redémarrage des nœuds gérés, l'opération d'application des correctifs se décompose en deux événements, pour un total de trois hooks qui prennent en charge la fonctionnalité personnalisée. Le premier hook précède l'opération Install with NoReboot. Le deuxième hook suit l'opération Install with NoReboot. Le troisième hook est disponible après le redémarrage du nœud.
Remplace les documents existants :
-
Aucun
Pour plus d'informations sur le AWS-RunPatchBaselineWithHooks SSM document, consultezSSMDocument de commande pour l'application de correctifs : AWS-RunPatchBaselineWithHooks.
SSMDocuments existants pour appliquer des correctifs aux nœuds gérés
Les quatre SSM documents suivants sont toujours disponibles dans certains cas Régions AWS. Cependant, ils ne sont plus mis à jour et pourraient ne plus être pris en charge à l'avenir. Nous ne recommandons donc pas leur utilisation. Utilisez plutôt les documents décrits dans SSMdocuments recommandés pour appliquer des correctifs aux nœuds gérés.
SSMDocuments hérités
AWS-ApplyPatchBaseline
Supports uniquement Windows Server nœuds gérés, mais n'inclut pas la prise en charge des applications d'application de correctifs qui figure dans son remplacement,AWS-RunPatchBaseline. Non disponible en cas de Régions AWS lancement après août 2017.
Note
Le remplacement de ce SSM document nécessite la AWS-RunPatchBaseline version 2.0.834.0 ou une version ultérieure de SSM Agent. Vous pouvez utiliser le AWS-UpdateSSMAgent document pour mettre à jour vos nœuds gérés avec la dernière version de l'agent.
AWS-FindWindowsUpdates
Remplacé par AWS-InstallWindowsUpdates, qui peut effectuer toutes les mêmes actions. Non disponible en cas de Régions AWS lancement après avril 2017.
Pour obtenir le même résultat qu'avec cet ancien SSM document, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé AWS-InstallWindowsUpdates :
-
Action=Scan -
Allow Reboot=False
AWS-InstallMissingWindowsUpdates
Remplacé par AWS-InstallWindowsUpdates, qui peut effectuer toutes les mêmes actions. Non disponible dans les versions Régions AWS lancées après avril 2017.
Pour obtenir le même résultat qu'avec cet ancien SSM document, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé AWS-InstallWindowsUpdates :
-
Action=Install -
Allow Reboot=True
AWS-InstallSpecificWindowsUpdates
Remplacé par AWS-InstallWindowsUpdates, qui peut effectuer toutes les mêmes actions. Non disponible dans les versions Régions AWS lancées après avril 2017.
Pour obtenir le même résultat qu'avec cet ancien SSM document, utilisez la configuration de paramètres suivante avec le document de remplacement recommandé AWS-InstallWindowsUpdates :
-
Action=Install -
Allow Reboot=True -
Include Kbs=comma-separated list of KB articles
