Configurer l'application de correctifs pour les instances d'une organisation à l'aide de Quick Setup - AWS Systems Manager
Régions prises en charge pour les configurations des politiques de correctifAutorisations pour le compartiment S3 de la politique de correctifsLigne de base de correctifs aléatoire IDs dans les opérations relatives aux politiques relatives aux correctifsCréation d'une politique de correctif

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer l'application de correctifs pour les instances d'une organisation à l'aide de Quick Setup

Avec Quick Setup, un outil dans AWS Systems Manager, vous pouvez créer des politiques de correctif basées sur Patch Manager. Une politique de correctifs définit le calendrier et la base de référence à utiliser lors de l'application automatique de correctifs à vos instances Amazon Elastic Compute Cloud (Amazon EC2) et à d'autres nœuds gérés. À l'aide d'une configuration de politique de correctifs unique, vous pouvez définir l'application de correctifs pour tous les comptes de plusieurs Régions AWS de votre organisation, uniquement pour les comptes et les régions de votre choix, ou pour une seule paire compte-région. Pour plus d'informations sur les politiques de correctifs, consultez la rubrique Configurations des politiques de correctifs dans Quick Setup.

Prérequis

Pour définir une politique de correctifs pour un nœud à l'aide de Quick Setup, le nœud doit être un nœud géré. Pour plus d'informations sur la gestion de vos nœuds, consultez la rubrique Configuration de la console unifiée Systems Manager pour une organisation.

Important

Méthodes d’analyse de la conformité des correctifs – Systems Manager prend en charge plusieurs méthodes d’analyse des nœuds gérés pour vérifier la conformité des correctifs. Si vous implémentez plusieurs de ces méthodes à la fois, les informations de conformité aux correctifs que vous voyez sont toujours le résultat de l'analyse la plus récente. Les résultats des analyses précédentes sont remplacés. Si les méthodes d'analyse utilisent des référentiels de correctifs différents, avec des règles d'approbation différentes, les informations de conformité aux correctifs peuvent changer de manière inattendue. Pour de plus amples informations, veuillez consulter Éviter les remplacements involontaires des données de conformité aux correctifs.

État de conformité des associations et politiques relatives aux correctifs : état des correctifs pour un nœud géré soumis à un Quick Setup la politique des correctifs correspond à l'état du State Manager exécution de l'association pour ce nœud. Si le statut d’exécution de l’association est Compliant, le statut d’application des correctifs pour le nœud géré est également marqué Compliant. Si le statut d’exécution de l’association est Non-Compliant, le statut d’application des correctifs pour le nœud géré est également marqué Non-Compliant.

Régions prises en charge pour les configurations des politiques de correctif

Configurations des politiques de correctifs dans Quick Setup sont actuellement pris en charge dans les régions suivantes :

  • USA Est (Ohio) (us-east-2)

  • USA Est (Virginie du Nord) (us-east-1)

  • USA Ouest (Californie du Nord) (us-west-1)

  • USA Ouest (Oregon) (us-west-2)

  • Asie-Pacifique (Mumbai) (ap-south-1)

  • Asie-Pacifique (Séoul) (ap-northeast-2)

  • Asie-Pacifique (Singapour) (ap-southeast-1)

  • Asie-Pacifique (Sydney) (ap-southeast-2)

  • Asie-Pacifique (Tokyo) (ap-northeast-1)

  • Canada (Centre) (ca-central-1)

  • Europe (Francfort) (eu-central-1)

  • Europe (Irlande) (eu-west-1)

  • Europe (Londres) (eu-west-2)

  • Europe (Paris) (eu-west-3)

  • Europe (Stockholm) (eu-north-1)

  • Amérique du Sud (São Paulo) (sa-east-1)

Autorisations pour le compartiment S3 de la politique de correctifs

Lorsque vous créez une politique de correctifs, Quick Setup crée un compartiment Amazon S3 qui contient un fichier nommébaseline_overrides.json. Ce fichier contient des informations sur les référentiels de correctifs que vous avez spécifiées pour votre politique de correctifs.

Le compartiment S3 est nommé au format aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id.

Par exemple : aws-quicksetup-patchpolicy-123456789012-abcde

Si vous créez une politique de correctifs pour une organisation, le compartiment est créé dans le compte de gestion de votre organisation.

Il existe deux cas d'utilisation dans lesquels vous devez autoriser d'autres AWS ressources à accéder à ce compartiment S3 à l'aide de politiques AWS Identity and Access Management (IAM) :

La politique d'autorisations dont vous avez besoin dans les deux cas se trouve dans la section ci-dessous, Autorisations de politique pour Quick Setup Compartiments S3.

Cas 1 : utilisez votre propre profil d'instance ou rôle de service avec vos nœuds gérés au lieu d'un profil fourni par Quick Setup

Les configurations des politiques de correctifs comprennent une option pour Ajouter les politiques IAM requises aux profils d'instance existants attachés à vos instances.

Si vous ne choisissez pas cette option mais que vous souhaitez Quick Setup pour appliquer des correctifs à vos nœuds gérés à l'aide de cette politique de correctifs, vous devez vous assurer que les éléments suivants sont mis en œuvre :

  • La politique AmazonSSMManagedInstanceCore gérée par IAM doit être associée au profil d'instance IAM ou à la fonction du service IAM utilisé pour fournir des autorisations Systems Manager à vos nœuds gérés.

  • Vous devez ajouter au profil d'instance IAM ou à la fonction du service IAM des autorisations d'accès à votre compartiment de politiques de correctifs en tant que politique en ligne. Vous pouvez fournir un accès générique à tous les compartiments aws-quicksetup-patchpolicy ou uniquement au compartiment spécifique créé pour votre organisation ou votre compte, comme indiqué dans les exemples de code précédents.

  • Vous devez baliser votre profil d'instance IAM ou votre fonction du service IAM à l'aide de la paire clé-valeur suivante.

    Key: QSConfigId-quick-setup-configuration-id, Value: quick-setup-configuration-id

    quick-setup-configuration-idreprésente la valeur du paramètre appliqué à la AWS CloudFormation pile utilisée pour créer la configuration de votre politique de correctifs. Pour récupérer cet ID, procédez comme suit :

    1. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

    2. Sélectionnez le nom de la pile utilisée pour créer votre stratégie de correctif. Le nom est dans un format tel que StackSet-AWS-QuickSetup-PatchPolicy-LA-q4bkg-52cd2f06-d0f9-499e-9818-d887cEXAMPLE.

    3. Sélectionnez l'onglet Paramètres.

    4. Dans la liste des paramètres, dans la colonne Clé, recherchez l'QSConfigurationID de la clé. Dans la colonne Valeur de sa ligne, recherchez l'ID de configuration, tel que abcde.

      Dans cet exemple, pour que la balise s'applique à votre profil d'instance ou à votre fonction du service, la clé est QSConfigId-abcde et la valeur est abcde.

Pour plus d'informations sur l'ajout de balises à un rôle IAM, consultez les sections Balisage des rôles IAM et Gestion des balises sur les profils d'instance (AWS CLI ou AWS API) dans le guide de l'utilisateur IAM.

Cas 2 : utiliser les points de terminaison d'un VPC pour se connecter à Systems Manager

Si vous utilisez des points de terminaison VPC pour vous connecter à Systems Manager, votre politique de point de terminaison VPC pour S3 doit autoriser l'accès à votre Quick Setup paquet S3 Patch Policy.

Pour plus d'informations sur l'ajout d'autorisations à une politique de point de terminaison d'un VPC pour S3, consultez la section Contrôle de l'accès depuis les points de terminaison d'un VPC avec des politiques de compartiment dans le Guide de l'utilisateur Amazon S3.

Autorisations de politique pour Quick Setup Compartiments S3

Vous pouvez fournir un accès générique à tous les compartiments aws-quicksetup-patchpolicy ou uniquement au compartiment spécifique créé pour votre organisation ou votre compte. Pour fournir les autorisations nécessaires dans les deux cas décrits ci-dessous, utilisez l'un ou l'autre format.

All patch policy buckets
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessToAllPatchPolicyRelatedBuckets",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-*"
    }
  ]
}
Specific patch policy bucket
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessToMyPatchPolicyRelatedBucket",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id"Footnote callout 1 to explain a line in a JSON policy
    }
  ]
}

1Une fois la configuration de la politique de correctifs créée, vous pouvez localiser le nom complet de votre compartiment dans la console S3. Par exemple : aws-quicksetup-patchpolicy-123456789012-abcde

Ligne de base de correctifs aléatoire IDs dans les opérations relatives aux politiques relatives aux correctifs

Les opérations d'application de correctifs pour les politiques de correctifs utilisent le paramètre BaselineOverride figurant dans le document de commande SSM AWS-RunPatchBaseline.

Lorsque vous l'utilisez AWS-RunPatchBaseline pour appliquer des correctifs en dehors d'une politique de correctifs, vous pouvez utiliser BaselineOverride pour spécifier une liste de référentiels de correctifs à utiliser pendant l'opération qui sont différentes des valeurs par défaut spécifiées. Vous créez cette liste dans un fichier nommé baseline_overrides.json et vous l'ajoutez manuellement à un compartiment Amazon S3 que vous possédez, comme expliqué dans Utilisation du paramètre BaselineOverride .

Toutefois, pour les opérations d'application de correctifs basées sur des politiques de correctifs, Systems Manager crée automatiquement un compartiment S3 et y ajoute un fichier baseline_overrides.json. Ensuite, à chaque fois Quick Setup exécute une opération de correction (à l'aide du Run Command outil, le système génère un identifiant aléatoire pour chaque ligne de base de correctif. Cet ID est différent pour chaque opération d'application de correctifs de la politique de correctifs et le référentiel de correctifs qu'il représente n'est ni stocké ni accessible dans votre compte.

Par conséquent, vous ne verrez pas l'ID du référentiel de correctifs sélectionné dans votre configuration dans les journaux d'application de correctifs. Cela s'applique à la fois aux lignes de base de correctifs AWS gérées et aux lignes de base de correctifs personnalisées que vous avez peut-être sélectionnées. L'ID de référence indiqué dans le journal est plutôt celui qui a été généré pour cette opération spécifique d'application de correctifs.

En outre, si vous tentez d'afficher des informations dans Patch Manager à propos d'une ligne de base de correctifs générée avec un identifiant aléatoire, le système indique que la ligne de base de correctifs n'existe pas. Ce comportement est normal et peut être ignoré.

Création d'une politique de correctif

Pour créer une politique de correctifs, exécutez les tâches suivantes dans la console Systems Manager.

Pour créer une politique de correctifs avec Quick Setup

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

    Si vous configurez l'application de correctifs pour une organisation, assurez-vous d'être connecté au compte de gestion de l'organisation. Vous ne pouvez pas configurer la politique à l'aide du compte d'administrateur délégué ou d'un compte membre.

  2. Dans le volet de navigation, choisissez Quick Setup.

  3. Sur la carte Patch Manager (Gestionnaire de correctifs), choisissez Create (Créer).

    Astuce

    Si vous avez déjà une ou plusieurs configurations dans votre compte, choisissez d'abord l'onglet Bibliothèque ou le bouton Créer dans la section Configurations pour afficher les cartes.

  4. Pour Configuration name (Nom de configuration), saisissez un nom permettant d'identifier la politique de correctifs.

  5. Dans la section Scanning and installation (Analyse et installation), sous Patch operation (Opération de correctif), choisissez si la politique de correctifs va Scan (Analyser) les cibles spécifiées ou Scan and install (Scanner et installer) des correctifs sur les cibles spécifiées.

  6. Sous Scanning schedule (Planification d'analyse), choisissez Use recommended defaults (Utiliser les valeurs par défaut recommandées) ou Custom scan schedule (Planification d'analyse personnalisée). La planification d'analyse par défaut analysera vos cibles tous les jours à 1 h 00, UTC.

    • Si vous choisissez Custom scan schedule (Planification d'analyse personnalisée), sélectionnez la Scanning frequency (Fréquence d'analyse).

    • Si vous choisissez Daily (Quotidien), saisissez l'heure, au format UTC, à laquelle vous souhaitez analyser vos cibles.

    • Si vous choisissez Custom CRON Expression (Expression CRON personnalisée), saisissez la planification en tant que CRON expression (Expression CRON). Pour plus d'informations sur le formatage des expressions CRON pour Systems Manager, consultez la rubrique Référence : Expressions Cron et Rate pour Systems Manager.

      Sélectionnez également Wait to scan targets until first CRON interval (Attendre le premier intervalle CRON pour analyser les cibles). Par défaut, Patch Manager scanne immédiatement les nœuds lorsqu'ils deviennent des cibles.

  7. Si vous avez choisi Scan and install (Analyser et installer), choisissez la Installation schedule (Planification d'installation) à utiliser lors de l'installation de correctifs sur les cibles spécifiées. Si vous choisissez Utiliser les valeurs par défaut recommandées, Patch Manager installera des correctifs hebdomadaires à 2 h 00 UTC le dimanche.

    • Si vous choisissez Custom install schedule (Planification d'installation personnalisée), sélectionnez la Installation frequency (Fréquence d'installation).

    • Si vous choisissez Daily (Quotidien), saisissez l'heure, au format UTC, à laquelle vous souhaitez installer des mises à jour sur vos cibles.

    • Si vous choisissez Custom CRON Expression (Expression CRON personnalisée), saisissez la planification en tant que CRON expression (Expression CRON). Pour plus d'informations sur le formatage des expressions CRON pour Systems Manager, consultez la rubrique Référence : Expressions Cron et Rate pour Systems Manager.

      Désactivez également Wait to install updates until first CRON interval (Attendre le premier intervalle CRON pour installer les mises à jour) pour installer immédiatement les mises à jour sur les nœuds lorsqu'ils deviennent des cibles. Par défaut, Patch Manager attend le premier intervalle CRON pour installer les mises à jour.

    • Choisissez Reboot if needed (Redémarrer si nécessaire) pour redémarrer les nœuds après l'installation du correctif. Le redémarrage après l'installation est recommandé, mais peut entraîner des problèmes de disponibilité.

  8. Dans la section Patch baseline (Référentiel de correctifs), choisissez les référentiels de correctifs à utiliser lors de l'analyse et de la mise à jour de vos cibles.

    Par défaut, Patch Manager utilise les lignes de base de correctifs prédéfinies. Pour de plus amples informations, veuillez consulter Référentiels prédéfinis.

    Si vous choisissez une ligne de base de correctifs personnalisée, modifiez la ligne de base de correctifs sélectionnée pour les systèmes d'exploitation pour lesquels vous ne souhaitez pas utiliser une ligne de base de AWS correctifs prédéfinie.

    Note

    Si vous utilisez des points de terminaison d'un VPC pour vous connecter à Systems Manager, assurez-vous que votre stratégie de point de terminaison d'un VPC pour S3 autorise l'accès à ce compartiment S3. Pour de plus amples informations, veuillez consulter Autorisations pour le compartiment S3 de la politique de correctifs.

    Important

    Si vous utilisez une configuration de politique de correctifs dans Quick Setup, les mises à jour que vous apportez aux lignes de base de correctifs personnalisées sont synchronisées avec Quick Setup une fois par heure.

    Si une ligne de base de correctifs personnalisée référencée dans une politique de correctifs est supprimée, une bannière s'affiche sur le Quick Setup Page de détails de configuration pour votre politique de correctifs. La bannière vous informe que la politique de correctifs fait référence à un référentiel de correctifs qui n'existe plus et que les opérations d'application de correctifs suivantes échoueront. Dans ce cas, revenez au Quick Setup Sur la page Configurations, sélectionnez le Patch Manager configuration, puis choisissez Actions, Modifier la configuration. Le nom du référentiel de correctifs supprimé est surligné et vous devez sélectionner un nouveau référentiel de correctifs pour le système d'exploitation concerné.

  9. (Facultatif) Dans la section Patching log storage (Application de correctifs au stockage des journaux), sélectionnez Write output to S3 bucket (Écrire la sortie dans le compartiment S3) pour stocker les journaux des opérations d'application de correctifs dans un compartiment Amazon S3.

    Note

    Si vous configurez une politique de correctifs pour une organisation, le compte de gestion de votre organisation doit disposer au moins d'autorisations en lecture seule pour ce compartiment. Toutes les unités organisationnelles incluses dans la politique doivent disposer d'un accès en écriture au compartiment. Pour plus d'informations sur l'octroi de l'accès aux compartiments à différents comptes, consultez l'Exemple 2 : propriétaire d'un compartiment accordant à ses utilisateurs des autorisations entre comptes sur un compartiment dans le Guide de l'utilisateur Amazon Simple Storage Service.

  10. Choisissez Parcourir S3 pour sélectionner le compartiment dans lequel vous souhaitez stocker les sorties de journaux des correctifs. Le compte de gestion doit avoir un accès en lecture à ce compartiment. Tous les comptes et cibles non liés à la gestion configurés dans la section Targets (Cibles) doivent disposer d'un accès en écriture au compartiment S3 fourni à des fins de journalisation.

  11. Dans la section Targets (Cibles), choisissez l'une des options suivantes pour identifier les comptes et les régions concernés par cette opération de politique de correctifs.

    Note

    Si vous travaillez avec un seul compte, les options permettant de travailler avec les organisations et les unités organisationnelles (OUs) ne sont pas disponibles. Vous pouvez choisir d’appliquer cette configuration à toutes les Régions AWS de votre compte ou uniquement aux régions que vous sélectionnez.

    Si vous avez déjà indiqué une région d'origine pour votre compte et que vous n'êtes pas encore connecté à la nouvelle Quick Setup expérience console, vous ne pouvez pas exclure cette région de la configuration de Targets.

    • Entire organization (Organisation entière) : tous les comptes et toutes les régions de votre organisation.

    • Personnalisé : uniquement les régions OUs et que vous spécifiez.

      • Dans la OUs section Cible, sélectionnez l' OUs endroit où vous souhaitez configurer la politique de correctifs.

      • Dans la section Target Regions (Régions cibles), sélectionnez les régions dans lesquelles vous souhaitez appliquer la politique de correctifs.

    • Current account (Compte actuel) : seules les régions que vous spécifiez dans le compte auquel vous êtes actuellement connecté sont ciblées. Sélectionnez l'une des méthodes suivantes :

      • Current Region (Région actuelle) : seuls les nœuds gérés de la région sélectionnée dans la console sont ciblés.

      • Choose Regions (Choisir les régions) : choisissez les régions individuelles auxquelles appliquer la politique de correctifs.

  12. Pour Choose how you want to target instances (Choisissez la manière dont vous souhaitez cibler les instances), choisissez l'une des options suivantes pour identifier les nœuds auxquels appliquer des correctifs :

    • Tous les nœuds gérés : tous les nœuds gérés dans les régions OUs et les régions sélectionnées.

    • Specify the resource group (Spécifier le groupe de ressources) : choisissez le nom d'un groupe de ressources dans la liste pour cibler les ressources qui lui sont associées.

      Note

      Actuellement, la sélection de groupes de ressources n'est prise en charge que pour les configurations à compte unique. Pour appliquer des correctifs aux ressources de plusieurs comptes, choisissez une autre option de ciblage.

    • Specify a node tag (Spécifier une balise de nœud) : seuls les nœuds balisés avec la paire clé-valeur que vous spécifiez sont corrigés dans tous les comptes et régions que vous avez ciblés.

    • Manual (Manuel) : choisissez manuellement les nœuds gérés parmi tous les comptes et régions spécifiés dans une liste.

      Note

      Cette option ne prend actuellement en charge que EC2 les instances Amazon.

  13. Dans la section Rate control (Contrôle de taux), procédez comme suit :

    • Pour Concurrency (Simultanéité), saisissez un nombre ou un pourcentage de nœuds sur lesquels exécuter la politique de correctifs en même temps.

    • Dans Error threshold (Seuil d'erreur), saisissez le nombre ou le pourcentage de nœuds susceptibles de rencontrer une erreur avant que la politique de correctifs n'échoue.

  14. (Facultatif) Sélectionnez Ajouter les politiques IAM requises aux profils d'instance existants affectés à vos instances.

    Cette sélection applique les politiques IAM créées par ce Quick Setup configuration aux nœuds auxquels un profil d'instance est déjà attaché (EC2 instances) ou un rôle de service (nœuds activés de manière hybride). Nous vous recommandons de sélectionner cette option lorsque vos nœuds gérés sont déjà associés à un profil d'instance ou à une fonction du service, mais que ce dernier ou cette dernière ne contient pas toutes les autorisations requises pour travailler avec Systems Manager.

    Votre sélection s'applique aux nœuds gérés créés ultérieurement dans les comptes et les régions auxquels cette configuration de politique de correctifs s'applique.

    Important

    Si vous ne cochez pas cette case mais que vous souhaitez Quick Setup pour appliquer des correctifs à vos nœuds gérés à l'aide de cette politique de correctifs, vous devez effectuer les opérations suivantes :

    Ajoutez des autorisations à votre profil d'instance IAM ou à votre Fonction du service IAM pour accéder au compartiment S3 créé pour votre politique de correctifs

    Balisez votre profil d'instance IAM ou votre fonction du service IAM avec une paire clé-valeur spécifique.

    Pour plus d’informations, veuillez consulter Cas 1 : utilisez votre propre profil d'instance ou rôle de service avec vos nœuds gérés au lieu d'un profil fourni par Quick Setup.

  15. Sélectionnez Create (Créer).

    Pour vérifier l'état des correctifs après la création de la politique de correctifs, vous pouvez accéder à la configuration depuis le Quick Setuppage.