SSMDokumen perintah untuk menambal: AWS-RunPatchBaselineWithHooks - AWS Systems Manager
Langkah-langkah operasional AWS-RunPatchBaselineWithHooksParameter AWS-RunPatchBaselineWithHooks

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SSMDokumen perintah untuk menambal: AWS-RunPatchBaselineWithHooks

AWS Systems Manager mendukungAWS-RunPatchBaselineWithHooks, dokumen Systems Manager (SSMdokumen) untuk Patch Manager, kemampuan AWS Systems Manager. SSMDokumen ini melakukan operasi penambalan pada node terkelola untuk pembaruan terkait keamanan dan jenis pembaruan lainnya.

AWS-RunPatchBaselineWithHooks berbeda dari AWS-RunPatchBaseline dengan cara berikut:

  • Dokumen pembungkusAWS-RunPatchBaselineWithHooks adalah pembungkus untuk AWS-RunPatchBaseline dan bergantung pada AWS-RunPatchBaseline untuk beberapa operasinya.

  • InstallOperasiAWS-RunPatchBaselineWithHooks mendukung kait siklus hidup yang berjalan pada titik yang ditentukan selama patch node terkelola. Karena instalasi patch kadang-kadang memerlukan node terkelola untuk reboot, operasi patching dibagi menjadi dua peristiwa, dengan total tiga kait yang mendukung fungsionalitas kustom. Kait pertama adalah sebelum operasi Install with NoReboot. Kait kedua adalah setelah operasi Install with NoReboot. Kait ketiga tersedia setelah reboot dari node terkelola.

  • Tidak ada support daftar patch kustomAWS-RunPatchBaselineWithHooks tidak support parameter InstallOverrideList.

  • SSM Agent dukungan AWS-RunPatchBaselineWithHooks mengharuskan SSM Agent 3.0.502 atau yang lebih baru diinstal pada node terkelola untuk ditambal.

Saat dokumen dijalankan, ia menggunakan dasar patch yang ditentukan saat ini sebagai "default" untuk suatu jenis sistem operasi jika tidak ada grup patch yang ditentukan. Jika tidak, ia menggunakan dasar patch yang terkait dengan grup patch. Untuk informasi tentang grup patch, lihat Grup tambalan.

Anda dapat menggunakan AWS-RunPatchBaselineWithHooks untuk menerapkan patch untuk sistem operasi dan aplikasi. (Pada Windows Server, dukungan aplikasi terbatas pada pembaruan untuk aplikasi yang dirilis oleh Microsoft.)

Dokumen ini mendukung Linux dan Windows Server node terkelola. Dokumen ini akan melakukan tindakan yang sesuai untuk setiap platform.

catatan

AWS-RunPatchBaselineWithHookstidak didukung pada macOS.

Linux

Pada node yang dikelola Linux, AWS-RunPatchBaselineWithHooks dokumen tersebut memanggil modul Python, yang pada gilirannya mengunduh snapshot dari baseline patch yang berlaku untuk node terkelola. Snapshot dasar tambalan ini menggunakan aturan yang ditentukan dan daftar tambalan yang disetujui dan diblokir untuk mendorong manajer paket yang sesuai untuk setiap jenis node:

  • Amazon Linux 1, Amazon Linux 2, CentOS, Oracle Linux, dan RHEL 7 node terkelola menggunakanYUM. Untuk YUM operasi, Patch Manager membutuhkan Python 2.6 atau versi yang didukung yang lebih baru (2.6 - 3.10).

  • RHEL 8 node terkelola menggunakanDNF. Untuk DNF operasi, Patch Manager memerlukan versi Python 2 atau yang didukung Python 3 (2.6 - 3.10). (Tidak ada versi yang diinstal secara default pada RHEL 8. Anda harus menginstal satu atau yang lain secara manual.)

  • Debian Server, Raspberry Pi OS, dan Ubuntu Server contoh menggunakanAPT. Untuk APT operasi, Patch Manager membutuhkan versi yang didukung dari Python 3 (3.0 - 3.10).

  • SUSE Linux Enterprise Server node terkelola menggunakan Zypper. Untuk operasi Zypper, Patch Manager membutuhkan Python 2.6 atau versi yang didukung yang lebih baru (2.6 - 3.10).

Windows Server

Pada Windows Server node terkelola, AWS-RunPatchBaselineWithHooks dokumen mengunduh dan memanggil PowerShell modul, yang pada gilirannya mengunduh snapshot dari baseline patch yang berlaku untuk node terkelola. Snapshot dasar patch ini berisi daftar tambalan yang disetujui yang dikompilasi dengan menanyakan baseline patch terhadap server Windows Server Update Services (). WSUS Daftar ini diteruskan ke Pembaruan WindowsAPI, yang mengontrol pengunduhan dan pemasangan tambalan yang disetujui sebagaimana mestinya.

Setiap snapshot khusus untuk, grup patch Akun AWS, sistem operasi, dan ID snapshot. Snapshot dikirimkan melalui Amazon Simple Storage Service (Amazon URL S3) yang telah ditetapkan sebelumnya, yang kedaluwarsa 24 jam setelah snapshot dibuat. Namun, setelah URL kedaluwarsa, jika Anda ingin menerapkan konten snapshot yang sama ke node terkelola lainnya, Anda dapat membuat Amazon S3 baru yang telah ditetapkan sebelumnya URL hingga tiga hari setelah snapshot dibuat. Untuk melakukan ini, gunakan get-deployable-patch-snapshot-for-instanceperintah.

Setelah semua pembaruan yang disetujui dan berlaku telah diinstal, dengan reboot dilakukan seperlunya, informasi kepatuhan tambalan dihasilkan pada node terkelola dan dilaporkan kembali ke Patch Manager.

catatan

Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaselineWithHooks dokumen, node terkelola tidak di-boot ulang setelahnya Patch Manager berjalan. Untuk informasi selengkapnya, lihat Nama parameter: RebootOption.

Untuk informasi tentang melihat data kepatuhan patch, lihat Tentang kepatuhan patch.

Langkah-langkah operasional AWS-RunPatchBaselineWithHooks

Saat AWS-RunPatchBaselineWithHooks berjalan, langkah-langkah berikut dilakukan:

  1. Pindai - Scan Operasi yang AWS-RunPatchBaseline digunakan dijalankan pada node terkelola, dan laporan kepatuhan dibuat dan diunggah.

  2. Verifikasi status patch lokal - Script dijalankan untuk menentukan langkah-langkah apa yang akan dilakukan berdasarkan operasi yang dipilih dan hasil Scan dari Langkah 1.

    1. Jika operasi yang dipilih adalah Scan, operasi ditandai selesai. Operasi berakhir.

    2. Jika operasi yang dipilih adalahInstall, Patch Manager mengevaluasi Scan hasil dari Langkah 1 untuk menentukan apa yang akan dijalankan selanjutnya:

      1. Jika tidak terdeteksi ada patch yang hilang, dan tidak perlu reboot tertunda, operasi langsung melanjutkan ke langkah terakhir (Langkah 8), yang mencakup kait yang telah Anda berikan. Setiap langkah yang ada di antaranya dilewati.

      2. Jika tidak terdeteksi ada patch yang hilang, tapi ada reboot tertunda yang diperlukan dan opsi reboot yang dipilih adalah NoReboot, operasi langsung melanjutkan ke langkah terakhir (Langkah 8), yang mencakup kait yang telah Anda berikan. Setiap langkah yang ada di antaranya dilewati.

      3. Jika tidak, operasi dilanjutkan ke langkah berikutnya.

  3. Operasi kait pra-tambalan - SSM Dokumen yang telah Anda berikan untuk hook siklus hidup pertama,PreInstallHookDocName, dijalankan pada node terkelola.

  4. Instal dengan NoReboot - Install Operasi dengan opsi reboot untuk NoReboot menggunakan AWS-RunPatchBaseline dijalankan pada node yang dikelola, dan laporan kepatuhan dibuat dan diunggah.

  5. Operasi kait pasca-instal - SSM Dokumen yang telah Anda sediakan untuk hook siklus hidup kedua,PostInstallHookDocName, dijalankan pada node terkelola.

  6. Verifikasi reboot - Skrip berjalan untuk menentukan apakah reboot diperlukan untuk node terkelola dan langkah-langkah apa yang harus dijalankan:

    1. Jika opsi reboot yang dipilih adalah NoReboot, operasi langsung melanjutkan ke langkah terakhir (Langkah 8), yang mencakup kait yang telah Anda berikan. Setiap langkah yang ada di antaranya dilewati.

    2. Jika opsi reboot yang dipilih adalahRebootIfNeeded, Patch Manager memeriksa apakah ada reboot tertunda yang diperlukan dari inventaris yang dikumpulkan di Langkah 4. Ini berarti bahwa operasi berlanjut ke Langkah 7 dan node terkelola di-boot ulang dalam salah satu kasus berikut:

      1. Patch Manager memasang satu atau lebih tambalan. (Patch Manager tidak mengevaluasi apakah reboot diperlukan oleh tambalan. Sistem di-boot ulang bahkan jika tambalan tidak memerlukan reboot.)

      2. Patch Manager mendeteksi satu atau lebih tambalan dengan status INSTALLED_PENDING_REBOOT selama operasi Instal. INSTALLED_PENDING_REBOOTStatus dapat berarti bahwa opsi NoReboot dipilih saat terakhir kali operasi Instal dijalankan, atau tambalan dipasang di luar Patch Manager sejak terakhir kali node terkelola di-boot ulang.

      Jika tidak ada patch yang memenuhi kriteria ini ditemukan, operasi patch node terkelola selesai, dan operasi berlanjut langsung ke langkah terakhir (Langkah 8), yang mencakup hook yang telah Anda berikan. Setiap langkah yang ada di antaranya dilewati.

  7. Reboot dan laporkan - Operasi instalasi dengan opsi reboot RebootIfNeeded berjalan pada node terkelola menggunakanAWS-RunPatchBaseline, dan laporan kepatuhan dibuat dan diunggah.

  8. Operasi kait pasca-reboot - SSM Dokumen yang telah Anda sediakan untuk hook siklus hidup ketiga,OnExitHookDocName, dijalankan pada node terkelola.

Untuk operasi Scan, jika Langkah 1 gagal, proses menjalankan dokumen berhenti dan langkah tersebut dilaporkan gagal, meskipun langkah-langkah berikutnya dilaporkan sebagai sukses.

Untuk operasi Install, jika salah satu langkah aws:runDocument gagal selama operasi, langkah-langkah tersebut dilaporkan gagal, dan operasi langsung melanjutkan ke langkah terakhir (Langkah 8), yang mencakup kait yang telah Anda berikan. Setiap langkah yang ada di antaranya dilewati. Langkah ini dilaporkan gagal, langkah terakhir melaporkan status hasil operasi, dan semua langkah di antaranya dilaporkan sebagai sukses.

Parameter AWS-RunPatchBaselineWithHooks

AWS-RunPatchBaselineWithHooks support enam parameter.

parameter Operation diperlukan.

Parameter RebootOption, PreInstallHookDocName, PostInstallHookDocName, dan OnExitHookDocName bersifat opsional.

Snapshot-ID secara teknis opsional, tetapi kami merekomendasikan Anda untuk menyediakan nilai kustom untuknya ketika Anda menjalankan AWS-RunPatchBaselineWithHooks di luar jendela pemeliharaan. Biarkan Patch Manager memberikan nilai secara otomatis ketika dokumen dijalankan sebagai bagian dari operasi jendela pemeliharaan.

Nama parameter: Operation

Penggunaan: Wajib.

Opsi: Scan | Install.

Pemindaian

Ketika Anda memilih Scan opsi, sistem menggunakan AWS-RunPatchBaseline dokumen untuk menentukan status kepatuhan patch dari node terkelola dan melaporkan informasi ini kembali ke Patch Manager. Scantidak meminta pembaruan untuk diinstal atau node yang dikelola untuk di-boot ulang. Sebaliknya, operasi mengidentifikasi di mana pembaruan hilang yang disetujui dan berlaku untuk node.

Menginstal

Ketika Anda memilih Install opsi, AWS-RunPatchBaselineWithHooks mencoba untuk menginstal pembaruan yang disetujui dan berlaku yang hilang dari node terkelola. Informasi kepatuhan patch yang dihasilkan sebagai bagian operasi Install tidak mencantumkan pembaruan yang hilang, tetapi mungkin melaporkan pembaruan yang berstatus gagal jika instalasi pembaruan tidak berhasil karena alasan apa pun. Setiap kali pembaruan diinstal pada node terkelola, node di-reboot untuk memastikan pembaruan diinstal dan aktif. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaselineWithHooks dokumen, node terkelola tidak di-boot ulang setelah Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.)

catatan

Jika tambalan yang ditentukan oleh aturan dasar diinstal sebelumnya Patch Manager memperbarui node terkelola, sistem mungkin tidak reboot seperti yang diharapkan. Hal ini dapat terjadi ketika patch diinstal secara manual oleh pengguna atau diinstal secara otomatis oleh program lain, seperti unattended-upgrades paket pada Ubuntu Server.

Nama parameter: Snapshot ID

Penggunaan: Opsional.

Snapshot IDadalah ID unik (GUID) yang digunakan oleh Patch Manager untuk memastikan bahwa satu set node terkelola yang ditambal dalam satu operasi semuanya memiliki set patch yang disetujui yang sama persis. Meskipun parameter didefinisikan sebagai opsional, rekomendasi praktik terbaik kami bergantung pada apakah Anda menjalankan AWS-RunPatchBaselineWithHooks atau tidak di jendela pemeliharaan, seperti yang dijelaskan dalam tabel berikut.

Praktik terbaik AWS-RunPatchBaselineWithHooks
Mode Praktik terbaik Detail
Menjalankan AWS-RunPatchBaselineWithHooks di dalam jendela pemeliharaan Jangan sediakan ID Snapshot. Patch Manager akan memasoknya untuk Anda.

Jika Anda menggunakan jendela pemeliharaan untuk menjalankanAWS-RunPatchBaselineWithHooks, Anda seharusnya tidak memberikan ID Snapshot yang dibuat sendiri. Dalam skenario ini, Systems Manager memberikan GUID nilai berdasarkan ID eksekusi jendela pemeliharaan. Hal ini memastikan bahwa digunakan ID yang benar untuk semua pemanggilan AWS-RunPatchBaselineWithHooks dalam jendela pemeliharaan tersebut.

Jika Anda menentukan nilai dalam skenario ini, perhatikan bahwa snapshot dari baseline patch mungkin tidak tetap di tempatnya selama lebih dari 3 hari. Setelah itu, snapshot baru akan dihasilkan bahkan jika Anda menentukan ID yang sama setelah snapshot berakhir.

Menjalankan AWS-RunPatchBaselineWithHooks di luar jendela pemeliharaan Hasilkan dan tentukan GUID nilai kustom untuk ID Snapshot.¹

Bila Anda tidak menggunakan jendela pemeliharaan untuk menjalankanAWS-RunPatchBaselineWithHooks, kami sarankan Anda membuat dan menentukan ID Snapshot unik untuk setiap baseline patch, terutama jika Anda menjalankan AWS-RunPatchBaselineWithHooks dokumen pada beberapa node terkelola dalam operasi yang sama. Jika Anda tidak menentukan ID dalam skenario ini, Systems Manager akan menghasilkan ID Snapshot yang berbeda untuk setiap node terkelola tempat perintah dikirim. Hal ini dapat mengakibatkan berbagai set patch yang ditentukan di antara node.

Misalnya, katakan bahwa Anda menjalankan AWS-RunPatchBaselineWithHooks dokumen secara langsung melalui Run Command, kemampuan AWS Systems Manager, dan menargetkan sekelompok 50 node terkelola. Menentukan ID Snapshot kustom menghasilkan pembuatan snapshot dasar tunggal yang digunakan untuk mengevaluasi dan menambal semua node yang dikelola, memastikan bahwa mereka berakhir dalam status konsisten.

¹ Anda dapat menggunakan alat apa pun yang GUID mampu menghasilkan nilai untuk parameter ID Snapshot. Misalnya, di PowerShell, Anda dapat menggunakan New-Guid cmdlet untuk menghasilkan a GUID dalam format. 12345699-9405-4f69-bc5e-9315aEXAMPLE

Nama parameter: RebootOption

Penggunaan: Opsional.

Pilihan: RebootIfNeeded | NoReboot

Default: RebootIfNeeded

Awas

Opsi default-nya adalah RebootIfNeeded. Pastikan untuk memilih opsi yang benar untuk kasus penggunaan Anda. Misalnya, jika node terkelola Anda harus segera reboot untuk menyelesaikan proses konfigurasi, pilihRebootIfNeeded. Atau, jika Anda perlu mempertahankan ketersediaan node terkelola hingga waktu reboot yang dijadwalkan, pilihNoReboot.

penting

Kami tidak menyarankan menggunakan Patch Manager untuk menambal instance cluster di Amazon EMR (sebelumnya disebut Amazon Elastic MapReduce). Secara khusus, jangan pilih RebootIfNeeded opsi untuk RebootOption parameter. (Opsi ini tersedia di dokumen SSM Command untuk ditambalAWS-RunPatchBaseline,AWS-RunPatchBaselineAssociation, danAWS-RunPatchBaselineWithHooks.)

Perintah yang mendasari untuk menambal menggunakan Patch Manager penggunaan yum dan dnf perintah. Oleh karena itu, operasi mengakibatkan ketidakcocokan karena bagaimana paket diinstal. Untuk informasi tentang metode yang disukai untuk memperbarui perangkat lunak di EMR klaster Amazon, lihat Menggunakan default AMI untuk Amazon EMR di Panduan EMR Manajemen Amazon.

RebootIfNeeded

Saat Anda memilih RebootIfNeeded opsi, node terkelola di-boot ulang dalam salah satu kasus berikut:

  • Patch Manager memasang satu atau lebih tambalan.

    Patch Manager tidak mengevaluasi apakah reboot diperlukan oleh tambalan. Sistem di-boot ulang bahkan jika tambalan tidak memerlukan reboot.

  • Patch Manager mendeteksi satu atau lebih tambalan dengan status INSTALLED_PENDING_REBOOT selama operasi. Install

    INSTALLED_PENDING_REBOOTStatus dapat berarti bahwa opsi NoReboot dipilih saat terakhir kali Install operasi dijalankan, atau tambalan dipasang di luar Patch Manager sejak terakhir kali node terkelola di-boot ulang.

Mem-boot ulang node terkelola dalam dua kasus ini memastikan bahwa paket yang diperbarui dikeluarkan dari memori dan menjaga perilaku patching dan reboot tetap konsisten di semua sistem operasi.

NoReboot

Ketika Anda memilih NoReboot opsi, Patch Manager tidak me-reboot node terkelola meskipun menginstal tambalan selama Install operasi. Opsi ini berguna jika Anda tahu bahwa node terkelola Anda tidak memerlukan reboot setelah tambalan diterapkan, atau Anda memiliki aplikasi atau proses yang berjalan pada node yang seharusnya tidak terganggu oleh reboot operasi patching. Ini juga berguna ketika Anda ingin lebih banyak kontrol atas waktu reboot node terkelola, seperti dengan menggunakan jendela pemeliharaan.

catatan

Jika Anda memilih opsi NoReboot dan sebuah patch diinstal, patch diberikan status InstalledPendingReboot. Node yang dikelola itu sendiri, bagaimanapun, ditandai sebagaiNon-Compliant. Setelah reboot terjadi dan Scan operasi dijalankan, status node diperbarui keCompliant.

File pelacakan instalasi patch: Untuk melacak instalasi patch, terutama patch yang diinstal sejak reboot sistem terakhir, Systems Manager memelihara file pada node terkelola.

penting

Jangan menghapus atau memodifikasi file pelacakan. Jika file ini dihapus atau rusak, laporan kepatuhan patch untuk node terkelola tidak akurat. Jika ini terjadi, reboot node dan jalankan operasi Pindai patch untuk memulihkan file.

File pelacakan ini disimpan di lokasi berikut pada node terkelola Anda:

  • Sistem operasi Linux:

    • /var/log/amazon/ssm/patch-configuration/patch-states-configuration.json

    • /var/log/amazon/ssm/patch-configuration/patch-inventory-from-last-operation.json

  • Windows Server sistem operasi:

    • C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchStatesConfiguration.json

    • C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchInventoryFromLastOperation.json

Nama parameter: PreInstallHookDocName

Penggunaan: Opsional.

Default: AWS-Noop.

Nilai untuk menyediakan PreInstallHookDocName parameter adalah nama atau Amazon Resource Name (ARN) dari SSM dokumen pilihan Anda. Anda dapat memberikan nama dokumen AWS terkelola atau nama atau ARN SSM dokumen kustom yang telah Anda buat atau yang telah dibagikan dengan Anda. (Untuk SSM dokumen yang telah dibagikan dengan Anda dari yang berbeda Akun AWS, Anda harus menentukan sumber daya lengkapARN, sepertiarn:aws:ssm:us-east-2:123456789012:document/MySharedDocument.)

SSMDokumen yang Anda tentukan dijalankan sebelum Install operasi dan melakukan tindakan apa pun yang didukung oleh SSM Agent, seperti skrip shell untuk memeriksa pemeriksaan kesehatan aplikasi sebelum penambalan dilakukan pada node yang dikelola. (Untuk daftar tindakan, lihat Referensi plugin dokumen perintah). Nama SSM dokumen default adalahAWS-Noop, yang tidak melakukan operasi apa pun pada node terkelola.

Untuk informasi tentang membuat SSM dokumen kustom, lihatMembuat konten SSM dokumen.

Nama parameter: PostInstallHookDocName

Penggunaan: Opsional.

Default: AWS-Noop.

Nilai untuk menyediakan PostInstallHookDocName parameter adalah nama atau Amazon Resource Name (ARN) dari SSM dokumen pilihan Anda. Anda dapat memberikan nama dokumen AWS terkelola atau nama atau ARN SSM dokumen kustom yang telah Anda buat atau yang telah dibagikan dengan Anda. (Untuk SSM dokumen yang telah dibagikan dengan Anda dari yang berbeda Akun AWS, Anda harus menentukan sumber daya lengkapARN, sepertiarn:aws:ssm:us-east-2:123456789012:document/MySharedDocument.)

SSMDokumen yang Anda tentukan dijalankan setelah Install with NoReboot operasi dan melakukan tindakan apa pun yang didukung oleh SSM Agent, seperti skrip shell untuk menginstal pembaruan pihak ketiga sebelum reboot. (Untuk daftar tindakan, lihat Referensi plugin dokumen perintah). Nama SSM dokumen default adalahAWS-Noop, yang tidak melakukan operasi apa pun pada node terkelola.

Untuk informasi tentang membuat SSM dokumen kustom, lihatMembuat konten SSM dokumen.

Nama parameter: OnExitHookDocName

Penggunaan: Opsional.

Default: AWS-Noop.

Nilai untuk menyediakan OnExitHookDocName parameter adalah nama atau Amazon Resource Name (ARN) dari SSM dokumen pilihan Anda. Anda dapat memberikan nama dokumen AWS terkelola atau nama atau ARN SSM dokumen kustom yang telah Anda buat atau yang telah dibagikan dengan Anda. (Untuk SSM dokumen yang telah dibagikan dengan Anda dari yang berbeda Akun AWS, Anda harus menentukan sumber daya lengkapARN, sepertiarn:aws:ssm:us-east-2:123456789012:document/MySharedDocument.)

SSMDokumen yang Anda tentukan dijalankan setelah operasi reboot node terkelola dan melakukan tindakan apa pun yang didukung oleh SSM Agent, seperti skrip shell untuk memverifikasi kesehatan node setelah operasi penambalan selesai. (Untuk daftar tindakan, lihat Referensi plugin dokumen perintah). Nama SSM dokumen default adalahAWS-Noop, yang tidak melakukan operasi apa pun pada node terkelola.

Untuk informasi tentang membuat SSM dokumen kustom, lihatMembuat konten SSM dokumen.