Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
SSMDokumen perintah untuk menambal: AWS-RunPatchBaselineAssociation
Seperti dokumen AWS-RunPatchBaseline
, AWS-RunPatchBaselineAssociation
melakukan operasi patching pada instans untuk jenis pembaruan terkait keamanan dan jenis pembaruan lainnya. Anda juga dapat menggunakan dokumen AWS-RunPatchBaselineAssociation
untuk menerapkan patch untuk sistem operasi dan aplikasi. (Pada Windows Server, dukungan aplikasi terbatas pada pembaruan untuk aplikasi yang dirilis oleh Microsoft.)
Dokumen ini mendukung instans Amazon Elastic Compute Cloud (AmazonEC2) untuk Linux, macOS, dan Windows Server. Ini tidak mendukung EC2 non-node dalam lingkungan hybrid dan multicloud. Dokumen akan melakukan tindakan yang sesuai untuk setiap platform, memanggil modul Python di Linux dan macOS instance, dan PowerShell modul pada instance Windows.
Namun, AWS-RunPatchBaselineAssociation
berbeda dari AWS-RunPatchBaseline
dengan cara berikut:
-
AWS-RunPatchBaselineAssociation
dimaksudkan untuk digunakan terutama dengan State Manager asosiasi dibuat menggunakan Quick Setup, kemampuan AWS Systems Manager. Khususnya, ketika Anda menggunakan Quick Setup Jenis konfigurasi Manajemen Host, jika Anda memilih opsi Pindai instance untuk tambalan yang hilang setiap hari, sistem menggunakanAWS-RunPatchBaselineAssociation
untuk operasi.Namun, dalam kebanyakan kasus, saat menyiapkan operasi patching Anda sendiri, Anda harus memilih AWS-RunPatchBaseline atau AWS-RunPatchBaselineWithHooks sebagai ganti
AWS-RunPatchBaselineAssociation
. -
Saat Anda menggunakan dokumen
AWS-RunPatchBaselineAssociation
, Anda dapat menentukan pasangan kunci tag dalam bidang parameterBaselineTags
pada dokumen. Jika baseline patch kustom di Anda Akun AWS membagikan tag ini, Patch Manager, kemampuan AWS Systems Manager, menggunakan baseline yang diberi tag ketika berjalan pada instance target alih-alih baseline patch “default” yang saat ini ditentukan untuk jenis sistem operasi.penting
Jika Anda memilih untuk digunakan
AWS-RunPatchBaselineAssociation
dalam operasi penambalan selain yang disiapkan menggunakan Quick Setup, dan Anda ingin menggunakanBaselineTags
parameter opsionalnya, Anda harus memberikan beberapa izin tambahan ke profil instans untuk instans Amazon Elastic Compute Cloud EC2 (Amazon). Untuk informasi selengkapnya, lihat Nama parameter: BaselineTags.Kedua format berikut ini valid untuk parameter
BaselineTags
Anda:Key=
tag-key
,Values=tag-value
Key=
tag-key
,Values=tag-value1
,tag-value2
,tag-value3
-
Saat
AWS-RunPatchBaselineAssociation
dijalankan, data kepatuhan tambalan yang dikumpulkannya direkam menggunakanPutComplianceItems
API perintah alih-alihPutInventory
perintah, yang digunakan olehAWS-RunPatchBaseline
. Perbedaan ini berarti bahwa informasi kepatuhan patch yang disimpan dan dilaporkan per asosiasi spesifik. data kepatuhan patch yang dihasilkan di luar asosiasi ini tidak ditimpa. -
Informasi kepatuhan patch yang dilaporkan setelah menjalankan
AWS-RunPatchBaselineAssociation
menunjukkan apakah suatu instans patuh atau tidak. Itu tidak termasuk detail tingkat tambalan, seperti yang ditunjukkan oleh output dari perintah AWS Command Line Interface (AWS CLI) berikut. Filter perintah padaAssociation
sebagai tipe kepatuhan:aws ssm list-compliance-items \ --resource-ids "i-02573cafcfEXAMPLE" \ --resource-types "ManagedInstance" \ --filters "Key=ComplianceType,Values=Association,Type=EQUAL" \ --region us-east-2
Sistem mengembalikan informasi seperti berikut ini.
{ "ComplianceItems": [ { "Status": "NON_COMPLIANT", "Severity": "UNSPECIFIED", "Title": "MyPatchAssociation", "ResourceType": "ManagedInstance", "ResourceId": "i-02573cafcfEXAMPLE", "ComplianceType": "Association", "Details": { "DocumentName": "AWS-RunPatchBaselineAssociation", "PatchBaselineId": "pb-0c10e65780EXAMPLE", "DocumentVersion": "1" }, "ExecutionSummary": { "ExecutionTime": 1590698771.0 }, "Id": "3e5d5694-cd07-40f0-bbea-040e6EXAMPLE" } ] }
Jika nilai tag key pair telah ditetapkan sebagai parameter untuk AWS-RunPatchBaselineAssociation
dokumen, Patch Manager mencari baseline patch khusus yang cocok dengan jenis sistem operasi dan telah ditandai dengan pasangan tag-key yang sama. Pencarian ini tidak terbatas pada dasar patch default yang ditetapkan saat ini atau dasar yang ditetapkan ke grup patch. Jika tidak ada baseline yang ditemukan dengan tag yang ditentukan, Patch Manager berikutnya mencari grup tambalan, jika ada yang ditentukan dalam perintah yang berjalanAWS-RunPatchBaselineAssociation
. Jika tidak ada grup tambalan yang cocok, Patch Manager kembali ke baseline patch default saat ini untuk akun sistem operasi.
Jika lebih dari satu baseline patch ditemukan dengan tag yang ditentukan dalam dokumen, AWS-RunPatchBaselineAssociation
Patch Manager mengembalikan pesan kesalahan yang menunjukkan bahwa hanya satu baseline patch yang dapat ditandai dengan pasangan kunci-nilai tersebut agar operasi dapat dilanjutkan.
catatan
Pada instans Linux, pengelola paket yang sesuai untuk setiap tipe instans digunakan untuk menginstal paket:
-
Amazon Linux 1, Amazon Linux 2, CentOS, Oracle Linux, dan RHEL contoh menggunakanYUM. Untuk YUM operasi, Patch Manager membutuhkan
Python 2.6
atau versi yang didukung yang lebih baru (2.6 - 3.10). -
Debian Server, Raspberry Pi OS, dan Ubuntu Server contoh menggunakanAPT. Untuk APT operasi, Patch Manager membutuhkan versi yang didukung dari
Python 3
(3.0 - 3.10). -
SUSE Linux Enterprise Server contoh menggunakan Zypper. Untuk operasi Zypper, Patch Manager membutuhkan
Python 2.6
atau versi yang didukung yang lebih baru (2.6 - 3.10).
Setelah pemindaian selesai, atau setelah semua pembaruan yang disetujui dan berlaku telah diinstal, dengan reboot dilakukan seperlunya, informasi kepatuhan patch dihasilkan pada sebuah instans dan dilaporkan kembali ke layanan Patch Manager.
catatan
Jika RebootOption
parameter disetel ke NoReboot
dalam AWS-RunPatchBaselineAssociation
dokumen, instance tidak di-boot ulang setelahnya Patch Manager berjalan. Untuk informasi selengkapnya, lihat Nama parameter: RebootOption.
Untuk informasi tentang melihat data kepatuhan patch, lihat Tentang kepatuhan patch.
Parameter AWS-RunPatchBaselineAssociation
AWS-RunPatchBaselineAssociation
mendukung empat parameter. Parameter Operation
dan AssociationId
diperlukan. Parameter InstallOverrideList
, RebootOption
, dan BaselineTags
bersifat opsional.
Parameter
Nama parameter: Operation
Penggunaan: Wajib.
Opsi: Scan
| Install
.
- Pemindaian
-
Saat Anda memilih
Scan
opsi,AWS-RunPatchBaselineAssociation
tentukan status kepatuhan patch dari instance dan laporkan informasi ini kembali Patch Manager.Scan
tidak meminta pembaruan untuk diinstal atau instance untuk di-boot ulang. Sebaliknya, operasi ini mengidentifikasi keberadaan pembaruan hilang yang disetujui dan dapat diterapkan ke instans tersebut. - Pasang
-
Saat Anda memilih opsi
Install
,AWS-RunPatchBaselineAssociation
mencoba untuk menginstal pembaruan yang disetujui dan dapat diterapkan yang hilang dari instans tersebut. Informasi kepatuhan patch yang dihasilkan sebagai bagian operasiInstall
tidak mencantumkan pembaruan yang hilang, tetapi mungkin melaporkan pembaruan yang berstatus gagal jika instalasi pembaruan tidak berhasil karena alasan apa pun. Setiap kali pembaruan diinstal pada sebuah instans, instans tersebut di-reboot untuk memastikan pembaruan telah terinstal dan aktif. (Pengecualian: JikaRebootOption
parameter disetel keNoReboot
dalamAWS-RunPatchBaselineAssociation
dokumen, instance tidak di-boot ulang setelahnya Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.)catatan
Jika tambalan yang ditentukan oleh aturan dasar diinstal sebelumnya Patch Manager memperbarui instance, sistem mungkin tidak reboot seperti yang diharapkan. Hal ini dapat terjadi ketika patch diinstal secara manual oleh pengguna atau diinstal secara otomatis oleh program lain, seperti
unattended-upgrades
paket pada Ubuntu Server.
Nama parameter: BaselineTags
Penggunaan: Opsional.
BaselineTags
adalah pasangan nilai kunci tag unik yang Anda pilih dan tetapkan ke dasar patch kustom individu. Anda dapat menentukan satu atau lebih nilai untuk parameter ini. Kedua format berikut ini valid:
Key=
tag-key
,Values=tag-value
Key=
tag-key
,Values=tag-value1
,tag-value2
,tag-value3
BaselineTags
Nilai tersebut digunakan oleh Patch Manager untuk memastikan bahwa satu set instance yang ditambal dalam satu operasi semuanya memiliki set patch yang disetujui yang sama persis. Saat operasi penambalan berjalan, Patch Manager memeriksa untuk melihat apakah garis dasar tambalan untuk jenis sistem operasi ditandai dengan pasangan nilai kunci yang sama yang Anda tentukan. BaselineTags
Jika ada kecocokan, dasar patch kustom ini digunakan. Jika tidak ada kecocokan, dasar patch diidentifikasi menurut grup patch yang ditentukan untuk operasi patching tersebut. Jika tidak ada, baseline patch standar AWS terkelola untuk sistem operasi itu digunakan.
Persyaratan izin tambahan
Jika Anda menggunakan AWS-RunPatchBaselineAssociation
dalam operasi penambalan selain yang disiapkan menggunakan Quick Setup, dan Anda ingin menggunakan BaselineTags
parameter opsional, Anda harus menambahkan izin berikut ke profil instans untuk instans Amazon Elastic Compute Cloud EC2 (Amazon).
catatan
Quick Setup dan AWS-RunPatchBaselineAssociation
tidak mendukung server lokal dan mesin virtual (VMs).
{ "Effect": "Allow", "Action": [ "ssm:DescribePatchBaselines", "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetPatchBaseline", "ssm:DescribeEffectivePatchesForPatchBaseline" ], "Resource": "
patch-baseline-arn
" }
Ganti patch-baseline-arn
dengan Amazon Resource Name (ARN) dari baseline patch yang ingin Anda berikan akses, dalam format. arn:aws:ssm:us-east-2:123456789012:patchbaseline/pb-0c10e65780EXAMPLE
Nama parameter: AssociationId
Penggunaan: Wajib.
AssociationId
adalah ID dari asosiasi yang ada di State Manager, kemampuan AWS Systems Manager. Ini digunakan oleh Patch Manager untuk menambahkan data kepatuhan ke asosiasi tertentu. Asosiasi ini terkait dengan Scan
operasi tambalan yang diaktifkan dalam konfigurasi Manajemen Host yang dibuat di Quick Setup. Dengan mengirimkan hasil penambalan sebagai data kepatuhan asosiasi alih-alih data kepatuhan inventaris, informasi kepatuhan inventaris yang ada untuk instans Anda tidak ditimpa setelah operasi penambalan, atau untuk asosiasi lainnya. IDs Jika Anda belum memiliki asosiasi yang ingin Anda gunakan, Anda dapat membuatnya dengan menjalankan create-associationperintah. Sebagai contoh:
Nama parameter: InstallOverrideList
Penggunaan: Opsional.
Dengan menggunakanInstallOverrideList
, Anda menentukan https URL atau Amazon Simple Storage Service (Amazon S3) URL gaya jalur ke daftar tambalan yang akan diinstal. Daftar instalasi patch ini, yang Anda pertahankan dalam YAML format, mengesampingkan tambalan yang ditentukan oleh baseline patch default saat ini. Hal ini memberikan Anda kendali yang lebih terperinci atas patch apa yang diinstal pada instans Anda.
Perilaku operasi patching saat menggunakan InstallOverrideList
parameter berbeda antara Linux & macOS node terkelola dan Windows Server node terkelola. Di Linux & macOS, Patch Manager mencoba menerapkan tambalan yang disertakan dalam daftar InstallOverrideList
tambalan yang ada di repositori apa pun yang diaktifkan pada node, apakah tambalan cocok dengan aturan dasar tambalan atau tidak. Pada Windows Server node, bagaimanapun, tambalan dalam daftar InstallOverrideList
tambalan diterapkan hanya jika mereka juga cocok dengan aturan dasar patch.
Sadarilah bahwa laporan kepatuhan mencerminkan status patch berdasarkan apa yang ditentukan dalam dasar patch, bukan apa yang Anda tentukan dalam daftar patch InstallOverrideList
. Dengan kata lain, operasi Pemindaian mengabaikan parameter InstallOverrideList
. Hal ini untuk memastikan bahwa laporan kepatuhan secara konsisten mencerminkan keadaan patch berdasarkan kebijakan daripada apa yang disetujui untuk operasi patching tertentu.
URLFormat yang valid
catatan
Jika file disimpan dalam bucket yang tersedia untuk umum, Anda dapat menentukan URL format https atau gaya jalur Amazon URL S3. Jika file Anda disimpan dalam bucket pribadi, Anda harus menentukan gaya jalur Amazon S3. URL
-
contoh URL format https:
https://s3.amazonaws.com/amzn-s3-demo-bucket/my-windows-override-list.yaml
-
Contoh gaya jalur Amazon S3: URL
s3://amzn-s3-demo-bucket/my-windows-override-list.yaml
Format YAML konten yang valid
Format yang Anda gunakan untuk menentukan patch dalam daftar Anda tergantung pada sistem operasi instans Anda. Namun, format yang umum adalah seperti berikut ini:
patches: - id: '{patch-d}' title: '{patch-title}' {
additional-fields
}:{values
}
Meskipun Anda dapat memberikan bidang tambahan dalam YAML file Anda, mereka diabaikan selama operasi tambalan.
Selain itu, kami sarankan untuk memverifikasi bahwa format YAML file Anda valid sebelum menambahkan atau memperbarui daftar di bucket S3 Anda. Untuk informasi selengkapnya tentang YAML format, lihat yaml.org
-
Microsoft Windows
id
Bidang id wajib diisi. Gunakan untuk menentukan patch menggunakan Microsoft Knowledge Base IDs (misalnya,KB2736693) dan Microsoft Security Bulletin IDs (misalnya, MS17 -023).
Bidang lain yang ingin Anda berikan dalam daftar patch untuk Windows bersifat opsional dan hanya digunakan sebagai informasi Anda sendiri. Anda dapat menggunakan bidang tambahan seperti judul, klasifikasi, Tingkat kepelikan, atau yang lainnya untuk memberikan informasi lebih detail tentang patch yang ditentukan.
-
Linux
id
Bidang id wajib diisi. Gunakan untuk menentukan patch menggunakan nama paket dan arsitektur. Sebagai contoh:
'dhclient.x86_64'
. Anda dapat menggunakan wildcard dalam id untuk menunjukkan lebih dari satu paket. Sebagai contoh:'dhcp*'
dan'dhcp*1.*'
.title
Bidang judul bersifat opsional, tetapi pada sistem Linux bidang tersebut memberikan kemampuan filter tambahan. Jika Anda menggunakan judul, sebaiknya berisi informasi versi paket dalam salah satu format berikut:
YUM/SUSE Linux Enterprise Server (SLES):
{name}.{architecture}:{epoch}:{version}-{release}
APT
{name}.{architecture}:{version}
Untuk judul patch Linux, Anda dapat menggunakan satu atau lebih wildcard di posisi apa pun untuk memperluas jumlah kecocokan paket. Sebagai contoh:
'*32:9.8.2-0.*.rc1.57.amzn1'
.Sebagai contoh:
-
Paket apt versi 1.2.25 saat ini telah diinstal pada instans Anda, tetapi versi 1.2.27 sekarang telah tersedia.
-
Anda menambahkan apt.amd64 versi 1.2.27 ke daftar patch. Hal ini tergantung pada apt utils.amd64 versi 1.2.27, tapi apt-utils.amd64 versi 1.2.25 ditentukan dalam daftar.
Dalam hal ini, apt versi 1.2.27 akan diblokir dari instalasi dan dilaporkan sebagai “Gagal-.” NonCompliant
-
Bidang Lainnya
Bidang lain yang ingin Anda berikan dalam daftar patch untuk Linux bersifat opsional dan hanya digunakan sebagai informasi Anda sendiri. Anda dapat menggunakan bidang tambahan seperti klasifikasi, tingkat kepelikan, atau yang lainnya untuk memberikan informasi lebih detail tentang patch yang ditentukan.
Contoh daftar tambalan
-
Windows
patches: - id: 'KB4284819' title: '2018-06 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4284819)' - id: 'KB4284833' - id: 'KB4284835' title: '2018-06 Cumulative Update for Windows Server 2016 (1803) for x64-based Systems (KB4284835)' - id: 'KB4284880' - id: 'KB4338814'
-
APT
patches: - id: 'apparmor.amd64' title: '2.10.95-0ubuntu2.9' - id: 'cryptsetup.amd64' title: '*2:1.6.6-5ubuntu2.1' - id: 'cryptsetup-bin.*' title: '*2:1.6.6-5ubuntu2.1' - id: 'apt.amd64' title: '*1.2.27' - id: 'apt-utils.amd64' title: '*1.2.25'
-
Amazon Linux
patches: - id: 'kernel.x86_64' - id: 'bind*.x86_64' title: '32:9.8.2-0.62.rc1.57.amzn1' - id: 'glibc*' - id: 'dhclient*' title: '*12:4.1.1-53.P1.28.amzn1' - id: 'dhcp*' title: '*10:3.1.1-50.P1.26.amzn1'
-
Red Hat Enterprise Linux (RHEL)
patches: - id: 'NetworkManager.x86_64' title: '*1:1.10.2-14.el7_5' - id: 'NetworkManager-*.x86_64' title: '*1:1.10.2-14.el7_5' - id: 'audit.x86_64' title: '*0:2.8.1-3.el7' - id: 'dhclient.x86_64' title: '*.el7_5.1' - id: 'dhcp*.x86_64' title: '*12:5.2.5-68.el7'
-
SUSE Linux Enterprise Server (SLES)
patches: - id: 'amazon-ssm-agent.x86_64' - id: 'binutils' title: '*0:2.26.1-9.12.1' - id: 'glibc*.x86_64' title: '*2.19*' - id: 'dhcp*' title: '0:4.3.3-9.1' - id: 'lib*'
-
Ubuntu Server
patches: - id: 'apparmor.amd64' title: '2.10.95-0ubuntu2.9' - id: 'cryptsetup.amd64' title: '*2:1.6.6-5ubuntu2.1' - id: 'cryptsetup-bin.*' title: '*2:1.6.6-5ubuntu2.1' - id: 'apt.amd64' title: '*1.2.27' - id: 'apt-utils.amd64' title: '*1.2.25'
-
Windows
patches: - id: 'KB4284819' title: '2018-06 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4284819)' - id: 'KB4284833' - id: 'KB4284835' title: '2018-06 Cumulative Update for Windows Server 2016 (1803) for x64-based Systems (KB4284835)' - id: 'KB4284880' - id: 'KB4338814'
Nama parameter: RebootOption
Penggunaan: Opsional.
Pilihan: RebootIfNeeded
| NoReboot
Default: RebootIfNeeded
Awas
Opsi default-nya adalah RebootIfNeeded
. Pastikan untuk memilih opsi yang benar untuk kasus penggunaan Anda. Misalnya, jika instance Anda harus segera reboot untuk menyelesaikan proses konfigurasi, pilihRebootIfNeeded
. Atau, jika Anda perlu mempertahankan ketersediaan instance hingga waktu reboot yang dijadwalkan, pilihNoReboot
.
penting
Kami tidak menyarankan menggunakan Patch Manager untuk menambal instance cluster di Amazon EMR (sebelumnya disebut Amazon Elastic MapReduce). Secara khusus, jangan pilih RebootIfNeeded
opsi untuk RebootOption
parameter. (Opsi ini tersedia di dokumen SSM Command untuk ditambalAWS-RunPatchBaseline
,AWS-RunPatchBaselineAssociation
, danAWS-RunPatchBaselineWithHooks
.)
Perintah yang mendasari untuk menambal menggunakan Patch Manager penggunaan yum
dan dnf
perintah. Oleh karena itu, operasi mengakibatkan ketidakcocokan karena bagaimana paket diinstal. Untuk informasi tentang metode yang disukai untuk memperbarui perangkat lunak di EMR klaster Amazon, lihat Menggunakan default AMI untuk Amazon EMR di Panduan EMR Manajemen Amazon.
- RebootIfNeeded
-
Saat Anda memilih
RebootIfNeeded
opsi, instance di-boot ulang dalam salah satu kasus berikut:-
Patch Manager memasang satu atau lebih tambalan.
Patch Manager tidak mengevaluasi apakah reboot diperlukan oleh tambalan. Sistem di-reboot bahkan jika patch tidak memerlukan reboot.
-
Patch Manager mendeteksi satu atau lebih tambalan dengan status
INSTALLED_PENDING_REBOOT
selama operasi.Install
INSTALLED_PENDING_REBOOT
Status dapat berarti bahwa opsiNoReboot
dipilih saat terakhir kaliInstall
operasi dijalankan, atau tambalan dipasang di luar Patch Manager sejak terakhir kali node terkelola di-boot ulang.
Mem-boot ulang instance dalam dua kasus ini memastikan bahwa paket yang diperbarui dikeluarkan dari memori dan menjaga perilaku patching dan reboot tetap konsisten di semua sistem operasi.
-
- NoReboot
-
Ketika Anda memilih
NoReboot
opsi, Patch Manager tidak me-reboot sebuah instance bahkan jika itu menginstal tambalan selamaInstall
operasi. Opsi ini berguna jika Anda tahu bahwa instans Anda tidak memerlukan reboot setelah patch diterapkan, atau Anda memiliki aplikasi atau proses yang berjalan pada instans yang seharusnya tidak terganggu oleh reboot operasi patching. Hal ini juga berguna ketika Anda ingin memiliki kendali lebih besar atas waktu reboot instans, seperti dengan menggunakan jendela pemeliharaan.
File pelacakan instalasi patch: Untuk melacak instalasi patch, terutama patch yang telah diinstal sejak reboot sistem terakhir kali, Systems Manager mempertahankan file pada instans terkelola.
penting
Jangan menghapus atau memodifikasi file pelacakan. Jika file ini dihapus atau rusak, laporan kepatuhan patch untuk instans tidak akurat. Jika ini terjadi, reboot instans dan jalankan patch operasi Pemindaian untuk memulihkan file tersebut.
file pelacakan ini disimpan di lokasi-lokasi berikut ini pada instans terkelola Anda:
-
Sistem operasi Linux:
-
/var/log/amazon/ssm/patch-configuration/patch-states-configuration.json
-
/var/log/amazon/ssm/patch-configuration/patch-inventory-from-last-operation.json
-
-
Windows Server sistem operasi:
-
C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchStatesConfiguration.json
-
C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchInventoryFromLastOperation.json
-