Menggunakan tag untuk menentukan grup tambalan Cara kerjanya

• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat dokumentasi CloudWatch Dasbor Amazon.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Grup tambalan

catatan

Grup tambalan tidak digunakan dalam operasi penambalan yang didasarkan pada kebijakan tambalan. Untuk informasi tentang bekerja dengan kebijakan tambalan, lihatKonfigurasi kebijakan tambalan di Quick Setup.

Fungsionalitas grup tambalan tidak didukung di konsol untuk pasangan wilayah Akun yang belum menggunakan grup tambalan sebelum dukungan kebijakan tambalan dirilis pada 22 Desember 2022. Fungsionalitas grup patch masih tersedia di pasangan Account-region yang mulai menggunakan grup patch sebelum tanggal ini.

Anda dapat menggunakan grup patch untuk mengaitkan node terkelola dengan baseline patch tertentu diPatch Manager, alat di. AWS Systems Manager Grup tambalan membantu memastikan bahwa Anda menerapkan tambalan yang sesuai, berdasarkan aturan dasar patch terkait, ke kumpulan node yang benar. Grup patch juga dapat membantu Anda menghindari men-deploy patch sebelum diuji secara memadai. Sebagai contoh, Anda dapat membuat grup patch untuk lingkungan yang berbeda (seperti pengembangan, pengujian, dan produksi) dan mendaftarkan setiap grup patch ke dasar patch yang sesuai.

Saat Anda menjalankan AWS-RunPatchBaseline atau dokumen Perintah SSM lainnya untuk ditambal, Anda dapat menargetkan node terkelola menggunakan ID atau tag mereka. SSM Agentdan Patch Manager kemudian evaluasi baseline patch mana yang akan digunakan berdasarkan nilai grup tambalan yang Anda tambahkan ke node terkelola.

Menggunakan tag untuk menentukan grup tambalan

Anda membuat grup tambalan menggunakan tag yang diterapkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) dan node non-EC2 di lingkungan hybrid dan multicloud. Perhatikan detail berikut tentang penggunaan tag untuk grup tambalan:

Grup patch harus didefinisikan menggunakan kunci tag Patch Group atau PatchGroup diterapkan ke node terkelola Anda. Saat mendaftarkan grup tambalan untuk garis dasar tambalan, nilai identik apa pun yang ditentukan untuk kedua kunci ini ditafsirkan sebagai bagian dari grup yang sama. Misalnya, katakan bahwa Anda telah menandai lima node dengan yang pertama dari pasangan kunci-nilai berikut, dan lima dengan yang kedua:
- key=PatchGroup,value=DEV
- key=Patch Group,value=DEV
Patch ManagerPerintah untuk membuat baseline menggabungkan 10 node terkelola ini menjadi satu grup berdasarkan nilainya. DEV AWS CLI Setara dengan perintah untuk membuat baseline patch untuk grup patch adalah sebagai berikut:
```
aws ssm register-patch-baseline-for-patch-group \
    --baseline-id pb-0c10e65780EXAMPLE \
    --patch-group DEV
```
Menggabungkan nilai-nilai dari kunci yang berbeda ke dalam satu target adalah unik untuk Patch Manager perintah ini untuk membuat grup patch baru dan tidak didukung oleh tindakan API lainnya. Misalnya, jika Anda menjalankan send-commandtindakan menggunakan PatchGroup dan Patch Group kunci dengan nilai yang sama, Anda menargetkan dua set node yang sama sekali berbeda:
```
aws ssm send-command \
    --document-name AWS-RunPatchBaseline \
    --targets "Key=tag:PatchGroup,Values=DEV"
```
```
aws ssm send-command \
    --document-name AWS-RunPatchBaseline \
    --targets "Key=tag:Patch Group,Values=DEV"
```
Ada batasan pada penargetan berbasis tag. Setiap array target untuk SendCommand dapat berisi maksimal lima pasangan kunci-nilai.
Kami menyarankan Anda memilih hanya satu dari konvensi kunci tag ini, baik PatchGroup (tanpa spasi) atau Patch Group (dengan spasi). Namun, jika Anda telah mengizinkan tag dalam metadata instans EC2 pada sebuah instance, Anda harus menggunakannya. PatchGroup
Kunci ini peka terhadap huruf besar-kecil. Anda dapat menentukan nilai apa pun untuk membantu Anda mengidentifikasi dan menargetkan sumber daya dalam grup itu, misalnya “server web” atau “US-EAST-PROD”, tetapi kuncinya harus atau. Patch Group PatchGroup

Setelah Anda membuat grup patch dan menandai node terkelola, Anda dapat mendaftarkan grup patch dengan baseline patch. Mendaftarkan grup patch dengan baseline patch memastikan bahwa node dalam grup patch menggunakan aturan yang ditentukan dalam baseline patch terkait.

Untuk informasi selengkapnya tentang cara membuat grup patch dan mengaitkan grup patch ke dasar patch, lihat Membuat dan mengelola grup patch dan Menambahkan grup patch ke dasar patch.

Untuk melihat contoh membuat dasar patch dan grup patch dengan menggunakan AWS Command Line Interface (AWS CLI), lihat Tutorial: Menambal lingkungan server menggunakan AWS CLI. Untuk informasi selengkapnya tentang tag Amazon EC2, lihat Menandai sumber daya Amazon EC2 Anda di Panduan Pengguna Amazon EC2.

Cara kerjanya

Ketika sistem menjalankan tugas untuk menerapkan baseline patch ke node terkelola, SSM Agent memverifikasi bahwa nilai grup patch ditentukan untuk node. Jika node ditetapkan ke grup patch, Patch Manager maka verifikasi baseline patch mana yang terdaftar ke grup itu. Jika baseline patch ditemukan untuk grup tersebut, Patch Manager beri tahu SSM Agent untuk menggunakan baseline patch terkait. Jika node tidak dikonfigurasi untuk grup tambalan, Patch Manager secara otomatis memberi tahu SSM Agent untuk menggunakan baseline patch default yang saat ini dikonfigurasi.

penting

Node terkelola hanya dapat berada dalam satu grup patch.

Suatu grup patch hanya dapat didaftarkan dengan satu dasar patch untuk setiap jenis sistem operasi.

Anda tidak dapat menerapkan Patch Group tag (dengan spasi) ke instans Amazon EC2 jika opsi Izinkan tag dalam metadata instans diaktifkan pada instance. Mengizinkan tag dalam metadata instance mencegah nama kunci tag berisi spasi. Jika Anda telah mengizinkan tag dalam metadata instans EC2, Anda harus menggunakan kunci tag PatchGroup (tanpa spasi).

Diagram 1: Contoh umum aliran proses operasi penambalan

Ilustrasi berikut menunjukkan contoh umum dari proses yang dilakukan Systems Manager saat mengirim Run Command tugas ke armada server Anda untuk ditambal menggunakanPatch Manager. Proses ini menentukan garis dasar tambalan mana yang akan digunakan dalam operasi penambalan. (Proses serupa digunakan ketika jendela pemeliharaan dikonfigurasi untuk mengirim perintah untuk ditambal menggunakanPatch Manager.)

Proses lengkapnya dijelaskan di bawah ilustrasi.

Patch Manageralur kerja untuk menentukan baseline patch mana yang akan digunakan saat melakukan operasi patching.

Dalam contoh ini, ada tiga grup instans EC2 untuk Windows Server dengan tag berikut ini diterapkan:

Grup instans EC2 Tag

Grup instans EC2	Tag
Grup 1	`key=OS,value=Windows` `key=PatchGroup,value=DEV`
Grup 2	`key=OS,value=Windows`
Grup 3	`key=OS,value=Windows` `key=PatchGroup,value=QA`

Grup 1

key=OS,value=Windows

key=PatchGroup,value=DEV

Grup 2

key=OS,value=Windows

Grup 3

key=OS,value=Windows

key=PatchGroup,value=QA

Untuk contoh ini, terdapat juga dua dasar patch Windows Server ini:

ID dasar patch	Default	Grup patch terkait
`pb-0123456789abcdef0`	Ya	`Default`
`pb-9876543210abcdef0`	Tidak	`DEV`

Proses umum untuk memindai atau menginstal tambalan menggunakanRun Command, alat di AWS Systems Manager, dan Patch Manager adalah sebagai berikut:

Kirim perintah ke patch: Gunakan konsol Systems Manager, SDK, AWS Command Line Interface (AWS CLI), atau AWS Tools for Windows PowerShell untuk mengirim Run Command tugas menggunakan dokumenAWS-RunPatchBaseline. Diagram menunjukkan Run Command tugas untuk menambal instance terkelola dengan menargetkan tag. key=OS,value=Windows
Penentuan dasar tambalan: SSM Agent memverifikasi tag grup tambalan yang diterapkan ke instance EC2 dan kueri Patch Manager untuk baseline patch yang sesuai.
- Mencocokkan nilai grup tambalan yang terkait dengan baseline patch:
  1. SSM Agent, yang diinstal pada instans EC2 di grup satu, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agentmemvalidasi bahwa instans EC2 memiliki nilai tag grup patch yang DEV diterapkan dan kueri Patch Manager untuk baseline patch terkait.
  2. Patch Managermemverifikasi bahwa baseline patch pb-9876543210abcdef0 memiliki grup patch yang DEV terkait dan memberi tahu. SSM Agent
  3. SSM Agentmengambil snapshot dasar patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi pb-9876543210abcdef0 dan melanjutkan ke langkah berikutnya.
- Tidak ada tag grup tambalan yang ditambahkan ke instance:
  1. SSM Agent, yang diinstal pada instans EC2 di grup dua, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agentmemvalidasi bahwa instans EC2 tidak memiliki PatchGroup tag Patch Group atau diterapkan dan sebagai hasilnya, SSM Agent kueri Patch Manager untuk baseline patch Windows default.
  2. Patch Managermemverifikasi bahwa baseline Windows Server patch default adalah pb-0123456789abcdef0 dan memberi tahu. SSM Agent
  3. SSM Agentmengambil snapshot baseline patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi di baseline pb-0123456789abcdef0 patch default dan melanjutkan ke langkah berikutnya.
- Tidak ada nilai grup patch yang cocok yang terkait dengan baseline patch:
  1. SSM Agent, yang diinstal pada instans EC2 di grup tiga, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agentmemvalidasi bahwa instans EC2 memiliki nilai tag grup patch yang QA diterapkan dan kueri Patch Manager untuk baseline patch terkait.
  2. Patch Managertidak menemukan garis dasar tambalan yang terkait dengan grup QA tambalan.
  3. Patch Managermemberi tahu SSM Agent untuk menggunakan pb-0123456789abcdef0 baseline patch Windows default.
  4. SSM Agentmengambil snapshot baseline patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi di baseline pb-0123456789abcdef0 patch default dan melanjutkan ke langkah berikutnya.
Patch scan atau install: Setelah menentukan baseline patch yang sesuai untuk digunakan, SSM Agent mulailah memindai atau menginstal patch berdasarkan nilai operasi yang ditentukan dalam Langkah 1. Patch yang dipindai atau diinstal ditentukan oleh aturan persetujuan dan pengecualian tambalan yang ditentukan dalam snapshot dasar patch yang disediakan oleh. Patch Manager

Info lebih lanjut

Nilai status kepatuhan tambalan

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Format nama paket untuk daftar patch yang disetujui dan ditolak

Aplikasi patching yang dirilis oleh Microsoft pada Windows Server