Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Systems Manager Patch Manager
Patch Manager, une fonctionnalité de AWS Systems Manager, automatise le processus d'application des correctifs aux nœuds gérés à la fois avec des mises à jour liées à la sécurité et d'autres types de mises à jour.
Important
À compter du 22 décembre 2022, Systems Manager fournit un support pour les politiques de correctifs dans Quick Setup, une capacité de AWS Systems Manager. L'utilisation de politiques de correctifs est la méthode recommandée pour configurer vos opérations d'application de correctifs. À l'aide d'une configuration de politique de correctifs unique, vous pouvez définir des correctifs pour tous les comptes de toutes les régions de votre organisation ; uniquement pour les comptes et les régions que vous choisissez ; ou pour une seule paire compte-région. Pour de plus amples informations, veuillez consulter Configurations des politiques de correctifs dans Quick Setup.
Vous pouvez utiliser … Patch Manager pour appliquer des correctifs aux systèmes d'exploitation et aux applications. (Activé Windows Server, le support des applications est limité aux mises à jour des applications publiées par Microsoft.) Vous pouvez utiliser … Patch Manager pour installer les Service Packs sur les nœuds Windows et effectuer des mises à niveau de versions mineures sur les nœuds Linux. Vous pouvez appliquer des correctifs à des flottes d'instances Amazon Elastic Compute Cloud (AmazonEC2), d'appareils périphériques, de serveurs sur site et de machines virtuelles (VMs) par type de système d'exploitation. Cela inclut les versions prises en charge de plusieurs systèmes d'exploitation, comme indiqué dans Patch Manager Conditions préalables de la . Vous pouvez scanner les instances pour afficher uniquement le rapport des correctifs manquants, ou scanner et installer automatiquement les correctifs manquants. Pour commencer avec Patch Manager, ouvrez la console Systems Manager
Note
AWS ne teste pas les correctifs avant de les rendre disponibles dans Patch Manager. En outre, Patch Manager ne prend pas en charge la mise à niveau des versions majeures des systèmes d'exploitation, telles que Windows Server 2016 à Windows Server 2019, ou SUSE Linux Enterprise Server (SLES) 12,0 à SLES 15,0.
Pour les types de systèmes d'exploitation basés sur Linux qui signalent un niveau de gravité pour les correctifs, Patch Manager utilise le niveau de gravité indiqué par l'éditeur du logiciel pour l'avis de mise à jour ou le correctif individuel. Patch Manager ne calcule pas les niveaux de gravité à partir de sources tierces, telles que le Common Vulnerability Scoring System
Références de correctifs
Patch Manager utilise des lignes de base de correctifs, qui incluent des règles d'approbation automatique des correctifs dans les jours suivant leur publication, en plus des listes facultatives de correctifs approuvés et rejetés. Lorsqu'une opération d'application de correctifs est exécutée, Patch Manager compare les correctifs actuellement appliqués à un nœud géré à ceux qui devraient être appliqués conformément aux règles définies dans la ligne de base des correctifs. Vous pouvez choisir Patch Manager pour afficher uniquement le rapport des correctifs manquants (une Scan
opération), ou vous pouvez choisir Patch Manager pour installer automatiquement tous les correctifs trouvés absents d'un nœud géré (Scan and install
opération).
Méthodes de fonctionnement d'application de correctifs
Patch Manager propose actuellement quatre méthodes d'exécution Scan
et d'Scan
and install
exploitation :
-
(Recommandé) Une politique de correctifs configurée dans Quick Setup— Sur la base de l'intégration avec AWS Organizations, une politique de correctifs unique peut définir des calendriers d'application des correctifs et des bases de référence pour l'ensemble de l'organisation, y compris plusieurs comptes Comptes AWS et tous Régions AWS ceux sur lesquels ces comptes opèrent. Une politique de correctifs peut également cibler uniquement certaines unités organisationnelles (OUs) d'une organisation. Vous pouvez utiliser une seule politique de correctifs pour effectuer des analyses et des installations selon des planifications différentes. Pour plus d’informations, consultez Configurer l'application de correctifs pour les instances d'une organisation à l'aide de Quick Setup et Configurations des politiques de correctifs dans Quick Setup.
-
Une option de gestion d'hôte configurée dans Quick Setup— Les configurations de gestion des hôtes sont également prises en charge par l'intégration avec AWS Organizations, ce qui permet d'exécuter une opération d'application de correctifs pour une organisation entière au maximum. Toutefois, cette option se limite à rechercher les correctifs manquants à l'aide du référentiel de correctifs par défaut actuel et à fournir des résultats dans des rapports de conformité. Cette méthode de fonctionnement ne permet pas d'installer de correctifs. Pour de plus amples informations, veuillez consulter Configurez la gestion des EC2 hôtes Amazon à l'aide de Quick Setup.
-
Une fenêtre de maintenance pour exécuter un correctif
Scan
ou uneInstall
tâche : une fenêtre de maintenance, que vous configurez dans la fonctionnalité Systems Manager appelée Maintenance Windows, peut être configuré pour exécuter différents types de tâches selon un calendrier que vous définissez. A Run CommandLa tâche -type peut être utilisée pour exécuterScan
ouScan and install
assigner des tâches à un ensemble de nœuds gérés de votre choix. Chaque tâche de la fenêtre de maintenance peut cibler les nœuds gérés en une seule Compte AWSRégion AWS paire. Pour de plus amples informations, veuillez consulter Tutoriel : Création d'une fenêtre de maintenance pour l'application de correctifs à l'aide de la console. -
Un correctif à la demande fonctionne désormais dans Patch Manager— L'option Patch now vous permet de contourner les configurations planifiées lorsque vous devez appliquer des correctifs aux nœuds gérés le plus rapidement possible. À l'aide de Patch now, vous pouvez spécifier s'il faut exécuter l'opération
Scan
ouScan and install
et sur quels nœuds gérés l'exécuter. Vous pouvez également choisir d'exécuter les documents Systems Manager (SSMdocuments) en tant que crochets du cycle de vie pendant l'opération d'application des correctifs. Chaque opération Patch now peut cibler les nœuds gérés en une seule Compte AWSRégion AWS paire. Pour de plus amples informations, veuillez consulter Application de correctifs sur les nœuds gérés à la demande.
Rapports de conformité
Après une opération Scan
, vous pouvez utiliser la console Systems Manager pour afficher des informations sur les nœuds gérés qui ne sont pas conformes aux correctifs et sur les correctifs manquants sur chacun de ces nœuds. Vous pouvez également générer des rapports de conformité des correctifs au format .csv, qui sont envoyés à un compartiment Amazon Simple Storage Service (Amazon S3) de votre choix. Vous pouvez générer des rapports ponctuels ou selon un calendrier régulier. Pour un nœud géré individuel, les rapports contiennent les détails de tous les correctifs relatifs à ce nœud. Pour un ensemble de nœuds gérés, le rapport contient seulement un résumé indiquant le nombre de correctifs manquants. Une fois le rapport généré, vous pouvez utiliser un outil tel QuickSight qu'Amazon pour importer et analyser les données. Pour de plus amples informations, veuillez consulter Utilisation des rapports de conformité des correctifs.
Note
Un élément de conformité généré par l'utilisation d'une politique de correctifs a le type d'exécution PatchPolicy
. Un élément de conformité qui n'est pas généré lors d'une opération de politique de correctifs a le type d'exécution Command
.
Intégrations
Patch Manager s'intègre aux autres éléments suivants Services AWS :
-
AWS Identity and Access Management (IAM) — IAM À utiliser pour contrôler quels utilisateurs, groupes et rôles ont accès à Patch Manager opérations. Pour plus d'informations, consultez Comment ? AWS Systems Manager fonctionne avec IAM et Configurer les autorisations d'instance requises pour Systems Manager.
-
AWS CloudTrail— CloudTrail À utiliser pour enregistrer un historique vérifiable des événements liés aux opérations d'application de correctifs initiés par des utilisateurs, des rôles ou des groupes. Pour de plus amples informations, veuillez consulter Enregistrement AWS Systems Manager API des appels avec AWS CloudTrail.
-
AWS Security Hub— Corrigez les données de conformité provenant de Patch Manager peut être envoyé à AWS Security Hub. Security Hub vous offre une vue complète sur vos alertes de sécurité haute priorité et votre statut de conformité. Il surveille également le statut d'application des correctifs de votre flotte. Pour de plus amples informations, veuillez consulter Intégration Patch Manager avec AWS Security Hub.
-
AWS Config— Configurez l'enregistrement dans AWS Config pour afficher les données de gestion des EC2 instances Amazon dans Patch Manager Tableau de bord. Pour de plus amples informations, veuillez consulter Affichage des résumés du tableau de bord des correctifs.
Rubriques
- Configurations des politiques de correctifs dans Quick Setup
- Patch Manager Conditions préalables de la
- Comment ? Patch Manager travaux d'exploitation
- SSMDocuments de commande pour appliquer des correctifs aux nœuds gérés
- Références de correctifs
- Utilisation Kernel Live Patching sur les nœuds gérés par Amazon Linux 2
- Travailler avec Patch Manager ressources et conformité à l'aide de la console
- Travailler avec Patch Manager ressources utilisant le AWS CLI
- AWS Systems Manager Patch Manager didacticiels
- Résolution des problèmes Patch Manager