AWS Systems Manager Patch Manager - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Systems Manager Patch Manager

Patch Manager, une fonctionnalité de AWS Systems Manager, automatise le processus d'application des correctifs aux nœuds gérés à la fois avec des mises à jour liées à la sécurité et d'autres types de mises à jour.

Important

À compter du 22 décembre 2022, Systems Manager fournit un support pour les politiques de correctifs dans Quick Setup, une capacité de AWS Systems Manager. L'utilisation de politiques de correctifs est la méthode recommandée pour configurer vos opérations d'application de correctifs. À l'aide d'une configuration de politique de correctifs unique, vous pouvez définir des correctifs pour tous les comptes de toutes les régions de votre organisation ; uniquement pour les comptes et les régions que vous choisissez ; ou pour une seule paire compte-région. Pour de plus amples informations, veuillez consulter Configurations des politiques de correctifs dans Quick Setup.

Vous pouvez utiliser … Patch Manager pour appliquer des correctifs aux systèmes d'exploitation et aux applications. (Activé Windows Server, le support des applications est limité aux mises à jour des applications publiées par Microsoft.) Vous pouvez utiliser … Patch Manager pour installer les Service Packs sur les nœuds Windows et effectuer des mises à niveau de versions mineures sur les nœuds Linux. Vous pouvez appliquer des correctifs à des flottes d'instances Amazon Elastic Compute Cloud (AmazonEC2), d'appareils périphériques, de serveurs sur site et de machines virtuelles (VMs) par type de système d'exploitation. Cela inclut les versions prises en charge de plusieurs systèmes d'exploitation, comme indiqué dans Patch Manager Conditions préalables de la  . Vous pouvez scanner les instances pour afficher uniquement le rapport des correctifs manquants, ou scanner et installer automatiquement les correctifs manquants. Pour commencer avec Patch Manager, ouvrez la console Systems Manager. Dans le volet de navigation, choisissez Patch Manager.

Note

AWS ne teste pas les correctifs avant de les rendre disponibles dans Patch Manager. En outre, Patch Manager ne prend pas en charge la mise à niveau des versions majeures des systèmes d'exploitation, telles que Windows Server 2016 à Windows Server 2019, ou SUSE Linux Enterprise Server (SLES) 12,0 à SLES 15,0.

Pour les types de systèmes d'exploitation basés sur Linux qui signalent un niveau de gravité pour les correctifs, Patch Manager utilise le niveau de gravité indiqué par l'éditeur du logiciel pour l'avis de mise à jour ou le correctif individuel. Patch Manager ne calcule pas les niveaux de gravité à partir de sources tierces, telles que le Common Vulnerability Scoring System (CVSS), ni à partir de mesures publiées par la National Vulnerability Database (NVD).

Références de correctifs

Patch Manager utilise des lignes de base de correctifs, qui incluent des règles d'approbation automatique des correctifs dans les jours suivant leur publication, en plus des listes facultatives de correctifs approuvés et rejetés. Lorsqu'une opération d'application de correctifs est exécutée, Patch Manager compare les correctifs actuellement appliqués à un nœud géré à ceux qui devraient être appliqués conformément aux règles définies dans la ligne de base des correctifs. Vous pouvez choisir Patch Manager pour afficher uniquement le rapport des correctifs manquants (une Scan opération), ou vous pouvez choisir Patch Manager pour installer automatiquement tous les correctifs trouvés absents d'un nœud géré (Scan and installopération).

Méthodes de fonctionnement d'application de correctifs

Patch Manager propose actuellement quatre méthodes d'exécution Scan et d'Scan and installexploitation :

  • (Recommandé) Une politique de correctifs configurée dans Quick Setup— Sur la base de l'intégration avec AWS Organizations, une politique de correctifs unique peut définir des calendriers d'application des correctifs et des bases de référence pour l'ensemble de l'organisation, y compris plusieurs comptes Comptes AWS et tous Régions AWS ceux sur lesquels ces comptes opèrent. Une politique de correctifs peut également cibler uniquement certaines unités organisationnelles (OUs) d'une organisation. Vous pouvez utiliser une seule politique de correctifs pour effectuer des analyses et des installations selon des planifications différentes. Pour plus d’informations, consultez Configurer l'application de correctifs pour les instances d'une organisation à l'aide de Quick Setup et Configurations des politiques de correctifs dans Quick Setup.

  • Une option de gestion d'hôte configurée dans Quick Setup— Les configurations de gestion des hôtes sont également prises en charge par l'intégration avec AWS Organizations, ce qui permet d'exécuter une opération d'application de correctifs pour une organisation entière au maximum. Toutefois, cette option se limite à rechercher les correctifs manquants à l'aide du référentiel de correctifs par défaut actuel et à fournir des résultats dans des rapports de conformité. Cette méthode de fonctionnement ne permet pas d'installer de correctifs. Pour de plus amples informations, veuillez consulter Configurez la gestion des EC2 hôtes Amazon à l'aide de Quick Setup.

  • Une fenêtre de maintenance pour exécuter un correctif Scan ou une Install tâche : une fenêtre de maintenance, que vous configurez dans la fonctionnalité Systems Manager appelée Maintenance Windows, peut être configuré pour exécuter différents types de tâches selon un calendrier que vous définissez. A Run CommandLa tâche -type peut être utilisée pour exécuter Scan ou Scan and install assigner des tâches à un ensemble de nœuds gérés de votre choix. Chaque tâche de la fenêtre de maintenance peut cibler les nœuds gérés en une seule Compte AWSRégion AWS paire. Pour de plus amples informations, veuillez consulter Tutoriel : Création d'une fenêtre de maintenance pour l'application de correctifs à l'aide de la console.

  • Un correctif à la demande fonctionne désormais dans Patch Manager— L'option Patch now vous permet de contourner les configurations planifiées lorsque vous devez appliquer des correctifs aux nœuds gérés le plus rapidement possible. À l'aide de Patch now, vous pouvez spécifier s'il faut exécuter l'opération Scan ou Scan and install et sur quels nœuds gérés l'exécuter. Vous pouvez également choisir d'exécuter les documents Systems Manager (SSMdocuments) en tant que crochets du cycle de vie pendant l'opération d'application des correctifs. Chaque opération Patch now peut cibler les nœuds gérés en une seule Compte AWSRégion AWS paire. Pour de plus amples informations, veuillez consulter Application de correctifs sur les nœuds gérés à la demande.

Rapports de conformité

Après une opération Scan, vous pouvez utiliser la console Systems Manager pour afficher des informations sur les nœuds gérés qui ne sont pas conformes aux correctifs et sur les correctifs manquants sur chacun de ces nœuds. Vous pouvez également générer des rapports de conformité des correctifs au format .csv, qui sont envoyés à un compartiment Amazon Simple Storage Service (Amazon S3) de votre choix. Vous pouvez générer des rapports ponctuels ou selon un calendrier régulier. Pour un nœud géré individuel, les rapports contiennent les détails de tous les correctifs relatifs à ce nœud. Pour un ensemble de nœuds gérés, le rapport contient seulement un résumé indiquant le nombre de correctifs manquants. Une fois le rapport généré, vous pouvez utiliser un outil tel QuickSight qu'Amazon pour importer et analyser les données. Pour de plus amples informations, veuillez consulter Utilisation des rapports de conformité des correctifs.

Note

Un élément de conformité généré par l'utilisation d'une politique de correctifs a le type d'exécution PatchPolicy. Un élément de conformité qui n'est pas généré lors d'une opération de politique de correctifs a le type d'exécution Command.

Intégrations

Patch Manager s'intègre aux autres éléments suivants Services AWS :