• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bagaimana Patch Manager operasi bekerja
Bagian ini memberikan rincian teknis yang menjelaskan bagaimanaPatch Manager, alat di AWS Systems Manager, menentukan patch mana yang akan diinstal dan bagaimana menginstalnya pada setiap sistem operasi yang didukung. Untuk sistem operasi Linux, ini juga menyediakan informasi tentang menentukan repositori sumber, dalam baseline patch khusus, untuk tambalan selain default yang dikonfigurasi pada node terkelola. Bagian ini juga menyediakan detail tentang cara aturan dasar patch bekerja pada distribusi sistem operasi Linux yang berbeda.
**catatan**
Informasi dalam topik berikut berlaku tidak peduli metode atau jenis konfigurasi yang Anda gunakan untuk operasi patching Anda:
Kebijakan tambalan yang dikonfigurasi di Quick Setup
Opsi Manajemen Host yang dikonfigurasi di Quick Setup
Jendela pemeliharaan untuk menjalankan tambalan `Scan` atau `Install` tugas
**Patch sesuai permintaan sekarang beroperasi**
**Topics**
+ [Bagaimana tanggal rilis paket dan tanggal pembaruan dihitung](patch-manager-release-dates.md)
+ [Cara pemilihan patch keamanan](patch-manager-selecting-patches.md)
+ [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md)
+ [Cara menginstal patch](patch-manager-installing-patches.md)
+ [Cara kerja aturan dasar patch pada sistem berbasis Linux](patch-manager-linux-rules.md)
+ [Menambal perbedaan operasi antara Linux dan Windows Server](patch-manager-windows-and-linux-differences.md)
# Bagaimana tanggal rilis paket dan tanggal pembaruan dihitung
**penting**
Informasi di halaman ini berlaku untuk sistem operasi (OS) Amazon Linux 2 dan Amazon Linux 2023 untuk instans Amazon Elastic Compute Cloud (Amazon EC2). Paket untuk jenis OS ini dibuat dan dikelola oleh Amazon Web Services. Bagaimana produsen sistem operasi lain mengelola paket dan repositori mereka memengaruhi bagaimana tanggal rilis dan tanggal pembaruan mereka dihitung. Untuk OSs selain Amazon Linux 2 dan Amazon Linux 2023, sepertiRed Hat Enterprise Linux, lihat dokumentasi pabrikan untuk informasi tentang bagaimana paket mereka diperbarui dan dipelihara.
Dalam pengaturan untuk [baseline patch kustom](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom) yang Anda buat, untuk sebagian besar jenis OS, Anda dapat menentukan bahwa patch disetujui secara otomatis untuk instalasi setelah beberapa hari tertentu. AWS menyediakan beberapa baseline patch yang telah ditentukan yang mencakup tanggal persetujuan otomatis 7 hari.
*Penundaan persetujuan otomatis* adalah jumlah hari untuk menunggu setelah tambalan dirilis, sebelum tambalan secara otomatis disetujui untuk ditambal. Misalnya, Anda membuat aturan menggunakan `CriticalUpdates` klasifikasi dan mengonfigurasinya selama 7 hari penundaan persetujuan otomatis. Akibatnya, tambalan kritis baru dengan tanggal rilis atau tanggal pembaruan terakhir 7 Juli secara otomatis disetujui pada 14 Juli.
Untuk menghindari hasil yang tidak terduga dengan penundaan persetujuan otomatis di Amazon Linux 2 dan Amazon Linux 2023, penting untuk memahami bagaimana tanggal rilis dan tanggal pembaruan mereka dihitung.
**catatan**
Jika repositori Amazon Linux 2 atau Amazon Linux 2023 tidak memberikan informasi tanggal rilis untuk paket, Patch Manager gunakan waktu pembuatan paket sebagai tanggal untuk spesifikasi tanggal persetujuan otomatis. Jika waktu pembuatan paket tidak dapat ditentukan, Patch Manager gunakan tanggal default 1 Januari 1970. Ini menghasilkan Patch Manager melewati spesifikasi tanggal persetujuan otomatis apa pun di garis dasar tambalan yang dikonfigurasi untuk menyetujui tambalan untuk tanggal apa pun setelah 1 Januari 1970.
Dalam kebanyakan kasus, waktu tunggu persetujuan otomatis sebelum tambalan diinstal dihitung dari `Updated Date` nilai dalam`updateinfo.xml`, bukan nilai. `Release Date` Berikut ini adalah detail penting tentang perhitungan tanggal ini:
+ `Release Date`Ini adalah tanggal *pemberitahuan* dirilis. Ini tidak berarti paket tersebut harus tersedia di repositori terkait.
+ `Update Date`Ini adalah tanggal terakhir pemberitahuan diperbarui. Pembaruan pemberitahuan dapat mewakili sesuatu yang sekecil pembaruan teks atau deskripsi. Ini tidak berarti paket dirilis sejak tanggal tersebut atau harus tersedia di repositori terkait.
Ini berarti bahwa sebuah paket dapat memiliki `Update Date` nilai 7 Juli tetapi tidak tersedia untuk instalasi sampai (misalnya) 13 Juli. Misalkan untuk kasus ini bahwa baseline patch yang menentukan penundaan persetujuan otomatis 7 hari berjalan dalam operasi pada 14 Juli. `Install` Karena `Update Date` nilainya 7 hari sebelum tanggal berjalan, tambalan dan pembaruan dalam paket diinstal pada 14 Juli. Instalasi terjadi meskipun hanya 1 hari telah berlalu sejak paket tersedia untuk instalasi yang sebenarnya.
+ Paket yang berisi sistem operasi atau patch aplikasi dapat diperbarui lebih dari satu kali setelah rilis awal.
+ Sebuah paket dapat dirilis ke repositori AWS terkelola tetapi kemudian diputar kembali jika masalah kemudian ditemukan dengannya.
Dalam beberapa operasi penambalan, faktor-faktor ini mungkin tidak penting. Misalnya, jika baseline patch dikonfigurasi untuk menginstal patch dengan nilai keparahan `Low` dan`Medium`, dan klasifikasi, penundaan persetujuan otomatis apa pun mungkin berdampak kecil pada operasi Anda. `Recommended`
Namun, dalam kasus di mana waktu tambalan kritis atau tingkat keparahan tinggi lebih penting, Anda mungkin ingin melakukan kontrol lebih besar saat tambalan dipasang. Metode yang disarankan untuk melakukan ini adalah dengan menggunakan repositori sumber patch alternatif alih-alih repositori default untuk menambal operasi pada node yang dikelola.
Anda dapat menentukan repositori sumber patch alternatif ketika membuat dasar patch kustom. Di setiap dasar patch kustom, Anda dapat menentukan konfigurasi sumber patch hingga 20 versi sistem operasi Linux yang didukung. Lihat informasi yang lebih lengkap di [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md).
# Cara pemilihan patch keamanan
Fokus utamaPatch Manager, alat di AWS Systems Manager, adalah menginstal pembaruan terkait keamanan sistem operasi pada node yang dikelola. Secara default, Patch Manager tidak menginstal semua tambalan yang tersedia, melainkan serangkaian tambalan yang lebih kecil yang berfokus pada keamanan.
Secara default, Patch Manager tidak mengganti paket yang telah ditandai sebagai usang dalam repositori paket dengan paket pengganti yang berbeda nama kecuali penggantian ini diperlukan oleh instalasi pembaruan paket lain. Sebagai gantinya, untuk perintah yang memperbarui paket, Patch Manager hanya melaporkan dan menginstal pembaruan yang hilang untuk paket yang diinstal tetapi sudah usang. Ini karena mengganti paket usang biasanya memerlukan penghapusan paket yang ada dan menginstal penggantinya. Mengganti paket usang dapat menyebabkan perubahan yang melanggar atau fungsionalitas tambahan yang tidak Anda inginkan.
Perilaku ini konsisten dengan `update-minimal` perintah YUM dan DNF, yang berfokus pada pembaruan keamanan daripada peningkatan fitur. Untuk informasi selengkapnya, lihat [Cara menginstal patch](patch-manager-installing-patches.md).
**catatan**
Saat Anda menggunakan `ApproveUntilDate` parameter atau `ApproveAfterDays` parameter dalam aturan dasar patch, Patch Manager evaluasi tanggal rilis patch menggunakan Coordinated Universal Time (UTC).
Misalnya, untuk`ApproveUntilDate`, jika Anda menentukan tanggal seperti`2025-11-16`, tambalan yang dirilis antara `2025-11-16T00:00:00Z` dan `2025-11-16T23:59:59Z` akan disetujui.
Ketahuilah bahwa tanggal rilis tambalan yang ditampilkan oleh pengelola paket asli pada node terkelola Anda mungkin menunjukkan waktu yang berbeda berdasarkan zona waktu lokal sistem Anda, tetapi Patch Manager selalu menggunakan waktu tanggal UTC untuk perhitungan persetujuan. Ini memastikan konsistensi dengan tanggal rilis patch yang dipublikasikan di situs web penasihat keamanan resmi.
Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau patch individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti [Common Vulnerability Scoring System](https://www.first.org/cvss/) (CVSS), atau dari metrik yang dirilis oleh [National](https://nvd.nist.gov/vuln) Vulnerability Database (NVD).
**catatan**
Pada semua sistem berbasis Linux yang didukung olehPatch Manager, Anda dapat memilih repositori sumber berbeda yang dikonfigurasi untuk node terkelola, biasanya untuk menginstal pembaruan nonsecurity. Untuk informasi, lihat [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md).
Pilih dari tab berikut untuk mempelajari cara Patch Manager memilih patch keamanan untuk sistem operasi Anda.
------
#### [ Amazon Linux 2 and Amazon Linux 2023 ]
Repositori yang telah dikonfigurasi sebelumnya ditangani secara berbeda di Amazon Linux 2 daripada di Amazon Linux 2023.
Di Amazon Linux 2, layanan baseline patch Systems Manager menggunakan repositori yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repositori (repo) yang telah dikonfigurasi sebelumnya pada sebuah node:
**Di Amazon Linux 2**
+ **ID repo**: `amzn2-core/2/architecture`
**Nama repo**: `Amazon Linux 2 core repository`
+ **ID repo**: `amzn2extra-docker/2/architecture`
**Nama repo**: `Amazon Extras repo for docker`
**catatan**
*architecture*bisa x86\$164 atau (untuk prosesor Graviton) aarch64.
Saat Anda membuat instans Amazon Linux 2023 (AL2023), instans berisi pembaruan yang tersedia dalam versi AL2023 dan spesifik yang AMI Anda pilih. AL2023 Instans Anda tidak secara otomatis menerima pembaruan keamanan penting dan penting tambahan pada waktu peluncuran. Sebagai gantinya, dengan *peningkatan deterministik melalui fitur repositori berversi* yang didukung AL2023, yang diaktifkan secara default, Anda dapat menerapkan pembaruan berdasarkan jadwal yang memenuhi kebutuhan spesifik Anda. Untuk informasi selengkapnya, lihat [Peningkatan deterministik melalui repositori berversi](https://docs.aws.amazon.com/linux/al2023/ug/deterministic-upgrades.html) di Panduan Pengguna *Amazon* Linux 2023.
Aktif AL2023, repositori yang telah dikonfigurasi adalah sebagai berikut:
+ **ID repo**: `amazonlinux`
**Nama repo**: repositori Amazon Linux 2023
Di Amazon Linux 2023 (rilis pratinjau), repositori yang telah dikonfigurasi sebelumnya terkait dengan *versi pembaruan paket yang terkunci*. Ketika new Amazon Machine Images (AMIs) for AL2023 dirilis, mereka dikunci ke versi tertentu. Untuk pembaruan tambalan, Patch Manager ambil versi terkunci terbaru dari repositori pembaruan tambalan dan kemudian memperbarui paket pada node terkelola berdasarkan konten versi terkunci tersebut.
**Manajer Package**
Node terkelola Amazon Linux 2 menggunakan Yum sebagai manajer paket. Amazon Linux 2023 menggunakan DNF sebagai manajer paket.
Kedua manajer paket menggunakan konsep *pemberitahuan pembaruan* sebagai file bernama`updateinfo.xml`. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Semua paket yang ada dalam pemberitahuan pembaruan dianggap Keamanan olehPatch Manager. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait.
**catatan**
Jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan** di halaman **dasar Buat tambalan**, maka paket yang tidak diklasifikasikan dalam `updateinfo.xml` file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.
Untuk informasi selengkapnya tentang opsi **Sertakan pembaruan non-keamanan**, lihat [Cara menginstal patch](patch-manager-installing-patches.md) dan[Cara kerja aturan dasar patch pada sistem berbasis Linux](patch-manager-linux-rules.md).
------
#### [ CentOS Aliran ]
PadaCentOS Stream, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Daftar berikut memberikan contoh untuk CentOS 9.2 () fiktif: Amazon Machine Image AMI
+ **ID repo**: `example-centos-9.2-base`
**Nama repo**: `Example CentOS-9.2 - Base`
+ **ID repo**: `example-centos-9.2-extras`
**Nama repo**: `Example CentOS-9.2 - Extras`
+ **ID repo**: `example-centos-9.2-updates`
**Nama repo**: `Example CentOS-9.2 - Updates`
+ **ID repo**: `example-centos-9.x-examplerepo`
**Nama repo**: `Example CentOS-9.x – Example Repo Packages`
**catatan**
Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.
CentOS Streamnode menggunakan DNF sebagai manajer paket. Manajer paket menggunakan konsep pemberitahuan pembaruan. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu.
Namun, repo CentOS Stream default tidak dikonfigurasi dengan pemberitahuan pembaruan. Ini berarti itu Patch Manager tidak mendeteksi paket pada CentOS Stream repo default. Patch ManagerUntuk memungkinkan memproses paket yang tidak terkandung dalam pemberitahuan pembaruan, Anda harus mengaktifkan `EnableNonSecurity` bendera dalam aturan dasar tambalan.
**catatan**
CentOS Streampemberitahuan pembaruan didukung. Repo dengan pemberitahuan pembaruan dapat diunduh setelah peluncuran.
------
#### [ Debian Server ]
Pada Debian Server, layanan dasar patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi pada instans. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara `sudo apt-get update`.
Paket kemudian di-filter dari repo `debian-security codename`. Ini berarti bahwa pada setiap versiDebian Server, Patch Manager hanya mengidentifikasi peningkatan yang merupakan bagian dari repo terkait untuk versi tersebut, sebagai berikut:
+ Debian Server11: `debian-security bullseye`
+ Debian Server12: `debian-security bookworm`
------
#### [ Oracle Linux ]
PadaOracle Linux, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repo yang telah dikonfigurasi sebelumnya pada sebuah node.
**Oracle Linux7**:
+ **ID repo**: `ol7_UEKR5/x86_64`
**Nama repo**: `Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)`
+ **ID repo**: `ol7_latest/x86_64`
**Nama repo**: `Oracle Linux 7Server Latest (x86_64)`
**Oracle Linux8**:
+ **ID repo**: `ol8_baseos_latest`
**Nama repo**: `Oracle Linux 8 BaseOS Latest (x86_64)`
+ **ID repo**: `ol8_appstream`
**Nama repo**: `Oracle Linux 8 Application Stream (x86_64)`
+ **ID repo**: `ol8_UEKR6`
**Nama repo**: `Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)`
**Oracle Linux9**:
+ **ID repo**: `ol9_baseos_latest`
**Nama repo**: `Oracle Linux 9 BaseOS Latest (x86_64)`
+ **ID repo**: `ol9_appstream`
**Nama repo**: `Oracle Linux 9 Application Stream Packages(x86_64)`
+ **ID repo**: `ol9_UEKR7`
**Nama repo**: `Oracle Linux UEK Release 7 (x86_64)`
**catatan**
Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.
Oracle Linuxnode terkelola menggunakan Yum sebagai manajer paket, dan Yum menggunakan konsep pemberitahuan pembaruan sebagai file bernama. `updateinfo.xml` Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.
**catatan**
Jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan** di halaman **dasar Buat tambalan**, maka paket yang tidak diklasifikasikan dalam `updateinfo.xml` file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.
------
#### [ AlmaLinux, RHEL, and Linux Rocky ]
Pada AlmaLinux,Red Hat Enterprise Linux, dan Rocky Linux layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada tiga repo yang telah dikonfigurasi sebelumnya pada sebuah node.
Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.
**catatan**
Jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan** di halaman **dasar Buat tambalan**, maka paket yang tidak diklasifikasikan dalam `updateinfo.xml` file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.
Red Hat Enterprise Linux7 node terkelola menggunakan Yum sebagai manajer paket. AlmaLinux, Red Hat Enterprise Linux 8, dan node Rocky Linux terkelola menggunakan DNF sebagai manajer paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan sebagai file bernama `updateinfo.xml`. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.
RHEL7
Repo berikut IDs dikaitkan dengan RHUI 2. RHUI 3 diluncurkan pada Desember 2019 dan memperkenalkan skema penamaan yang berbeda untuk repositori Yum. IDs Bergantung pada RHEL-7 tempat AMI Anda membuat node terkelola, Anda mungkin perlu memperbarui perintah Anda. Untuk informasi selengkapnya, lihat [Repositori IDs untuk RHEL 7 di AWS Telah Berubah di Portal](https://access.redhat.com/articles/4599971) *Pelanggan Red Hat*.
+ **ID repo**: `rhui-REGION-client-config-server-7/x86_64`
**Nama repo**: `Red Hat Update Infrastructure 2.0 Client Configuration Server 7`
+ **ID repo**: `rhui-REGION-rhel-server-releases/7Server/x86_64`
**Nama repo**: `Red Hat Enterprise Linux Server 7 (RPMs)`
+ **ID repo**: `rhui-REGION-rhel-server-rh-common/7Server/x86_64`
**Nama repo**: `Red Hat Enterprise Linux Server 7 RH Common (RPMs)`
AlmaLinux, 8 RHEL 8, dan Rocky Linux 8
+ **ID repo**: `rhel-8-appstream-rhui-rpms`
**Nama repo**: `Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)`
+ **ID repo**: `rhel-8-baseos-rhui-rpms`
**Nama repo**: `Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)`
+ **ID repo**: `rhui-client-config-server-8`
**Nama repo**: `Red Hat Update Infrastructure 3 Client Configuration Server 8`
AlmaLinux 9, RHEL 9, dan Rocky Linux 9
+ **ID repo**: `rhel-9-appstream-rhui-rpms`
**Nama repo**: `Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)`
+ **ID repo**: `rhel-9-baseos-rhui-rpms`
**Nama repo**: `Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)`
+ **ID repo**: `rhui-client-config-server-9`
**Nama repo**: `Red Hat Enterprise Linux 9 Client Configuration`
------
#### [ SLES ]
Pada node terkelola SUSE Linux Enterprise Server (SLES), pustaka ZYPP mendapatkan daftar tambalan yang tersedia (kumpulan paket) dari lokasi berikut:
+ Daftar repositori: `etc/zypp/repos.d/*`
+ Informasi paket: `/var/cache/zypp/raw/*`
SLESnode terkelola menggunakan Zypper sebagai manajer paket, dan Zypper menggunakan konsep tambalan. Patch hanyalah kumpulan paket yang memperbaiki masalah tertentu. Patch Managermenangani semua paket yang direferensikan dalam tambalan sebagai terkait keamanan. Karena paket individual tidak diberi klasifikasi atau tingkat keparahan, Patch Manager berikan paket atribut tambalan yang menjadi miliknya.
------
#### [ Ubuntu Server ]
PadaUbuntu Server, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara `sudo apt-get update`.
Paket kemudian disaring dari `codename-security` repo, di mana nama kode unik untuk versi rilis, seperti `trusty` untuk 14. Ubuntu Server Patch Managerhanya mengidentifikasi peningkatan yang merupakan bagian dari repo ini:
+ Ubuntu Server16.04 LTS: `xenial-security`
+ Ubuntu Server18.04 LTS: `bionic-security`
+ Ubuntu Server20.04 LTS: `focal-security`
+ Ubuntu Server22,04 LTS () `jammy-security`
+ Ubuntu Server24.04 LTS () `noble-security`
+ Ubuntu Server25.04 () `plucky-security`
------
#### [ Windows Server ]
Pada sistem operasi Microsoft Windows, Patch Manager mengambil daftar pembaruan yang tersedia yang diterbitkan Microsoft ke Microsoft Update dan secara otomatis tersedia untuk Windows Server Update Services (WSUS).
**catatan**
Patch Managerhanya membuat patch yang tersedia untuk versi sistem Windows Server operasi yang didukung untukPatch Manager. Misalnya, tidak Patch Manager dapat digunakan untuk menambal Windows RT.
Patch Managerterus memantau pembaruan baru di setiap Wilayah AWS. Daftar pembaruan yang tersedia disegarkan di setiap Region setidaknya sekali per hari. Ketika informasi tambalan dari Microsoft diproses, Patch Manager menghapus pembaruan yang digantikan oleh pembaruan selanjutnya dari daftar tambalannya. Oleh karena itu, hanya pembaruan terbaru yang ditampilkan dan tersedia untuk instalasi. Misalnya, jika `KB4012214` menggantikan`KB3135456`, hanya `KB4012214` tersedia sebagai pembaruan diPatch Manager.
Demikian pula, Patch Manager dapat menginstal hanya patch yang tersedia pada node terkelola selama waktu operasi patching. Secara default, Windows Server 2019 dan Windows Server 2022 menghapus pembaruan yang digantikan oleh pembaruan selanjutnya. Akibatnya, jika Anda menggunakan `ApproveUntilDate` parameter dalam baseline Windows Server patch, tetapi tanggal yang dipilih dalam `ApproveUntilDate` parameter *sebelum* tanggal tambalan terbaru, maka skenario berikut terjadi:
+ Patch yang digantikan dihapus dari node dan oleh karena itu tidak dapat diinstal menggunakan. Patch Manager
+ Patch pengganti terbaru ada di node tetapi belum disetujui untuk instalasi sesuai tanggal yang ditentukan `ApproveUntilDate` parameter.
Ini berarti bahwa node terkelola sesuai dalam hal operasi Systems Manager, meskipun patch kritis dari bulan sebelumnya mungkin tidak diinstal. Skenario yang sama ini dapat terjadi saat menggunakan `ApproveAfterDays` parameter. Karena perilaku patch yang digantikan Microsoft, dimungkinkan untuk menetapkan angka (umumnya lebih besar dari 30 hari) sehingga tambalan untuk Windows Server tidak pernah diinstal jika patch terbaru yang tersedia dari Microsoft dirilis sebelum jumlah hari telah berlalu. `ApproveAfterDays` Perhatikan bahwa perilaku sistem ini tidak berlaku jika Anda telah memodifikasi pengaturan Objek Kebijakan Grup Windows (GPO) untuk membuat patch yang diganti tersedia di node terkelola Anda.
**catatan**
Dalam beberapa kasus, Microsoft merilis patch untuk aplikasi yang tidak menentukan tanggal dan waktu yang diperbarui. Dalam kasus ini, tanggal dan waktu yang diperbarui `01/01/1970` disediakan secara default.
------
# Cara menentukan repositori sumber patch alternatif (Linux)
Saat Anda menggunakan repositori default yang dikonfigurasi pada node terkelola untuk operasi penambalan, alat di Patch Manager AWS Systems Manager, memindai atau menginstal tambalan terkait keamanan. Ini adalah perilaku default untukPatch Manager. Untuk informasi selengkapnya tentang cara Patch Manager memilih dan menginstal patch keamanan, lihat. [Cara pemilihan patch keamanan](patch-manager-selecting-patches.md)
Namun, pada sistem Linux, Anda juga dapat menggunakan Patch Manager untuk menginstal tambalan yang tidak terkait dengan keamanan, atau yang berada di repositori sumber yang berbeda dari yang default yang dikonfigurasi pada node terkelola. Anda dapat menentukan repositori sumber patch alternatif ketika membuat dasar patch kustom. Di setiap dasar patch kustom, Anda dapat menentukan konfigurasi sumber patch hingga 20 versi sistem operasi Linux yang didukung.
Misalnya, misalkan Ubuntu Server armada Anda menyertakan Ubuntu Server 25,04 node terkelola. Dalam kasus ini, Anda dapat menentukan repositori alternatif untuk setiap versi dalam dasar patch kustom yang sama. Untuk setiap versi, Anda memberikan nama, menentukan jenis versi sistem operasi (produk), dan menyediakan konfigurasi repositori. Anda juga dapat menentukan satu repositori sumber alternatif yang berlaku untuk semua versi sistem operasi yang didukung.
**catatan**
Menjalankan baseline patch khusus yang menentukan repositori patch alternatif untuk node terkelola tidak menjadikannya repositori default baru pada sistem operasi. Setelah operasi patching selesai, repositori yang sebelumnya dikonfigurasi sebagai default untuk sistem operasi node tetap default.
Untuk daftar contoh skenario penggunaan opsi ini, lihat [Contoh penggunaan untuk repositori sumber patch alternatif](#patch-manager-alternative-source-repository-examples) yang tersedia nanti dalam topik ini.
Untuk informasi tentang dasar patch default dan kustom, lihat [Garis dasar patch yang telah ditentukan dan kustom](patch-manager-predefined-and-custom-patch-baselines.md).
**Contoh: Menggunakan konsol**
Untuk menentukan repositori sumber patch alternatif ketika Anda bekerja di konsol Systems Manager, gunakan bagian **Sumber patch** pada halaman **Buat dasar patch**. Untuk informasi tentang penggunaan opsi **Sumber patch**, lihat [Membuat baseline patch khusus untuk Linux](patch-manager-create-a-patch-baseline-for-linux.md).
**Contoh: Menggunakan AWS CLI**
Untuk contoh penggunaan opsi `--sources` dengan AWS Command Line Interface (AWS CLI), lihat [Buat dasar patch dengan repositori kustom untuk versi OS yang berbeda](patch-manager-cli-commands.md#patch-manager-cli-commands-create-patch-baseline-mult-sources).
**Topics**
+ [Pertimbangan penting untuk repositori alternatif](#alt-source-repository-important)
+ [Contoh penggunaan untuk repositori sumber patch alternatif](#patch-manager-alternative-source-repository-examples)
## Pertimbangan penting untuk repositori alternatif
Ingatlah poin-poin berikut saat Anda merencanakan strategi patching Anda menggunakan repositori patch alternatif.
**Menerapkan verifikasi pembaruan repo (YUM dan DNF)**
Konfigurasi default untuk manajer paket pada distribusi Linux mungkin diatur untuk melewati repositori paket yang tidak dapat dijangkau jika koneksi ke repositori tidak dapat dibuat. Untuk menerapkan verifikasi pembaruan repositori, tambahkan `skip_if_unavailable=False` ke konfigurasi repositori.
Untuk informasi selengkapnya tentang `skip_if_available` opsi, lihat[Konektivitas ke sumber patch](patch-manager-prerequisites.md#source-connectivity).
**Hanya repositori yang ditentukan yang digunakan untuk patching**
Menentukan repositori alternatif tidak berarti menentukan repositori *tambahan*. Anda dapat memilih untuk menentukan repositori selain yang dikonfigurasi sebagai default pada node terkelola. Namun, Anda juga harus menentukan repositori default sebagai bagian dari konfigurasi sumber patch alternatif jika Anda ingin pembaruan mereka diterapkan.
Misalnya, pada node terkelola Amazon Linux 2, repositori defaultnya adalah `amzn2-core` dan. `amzn2extra-docker` Jika Anda ingin menyertakan repositori Extra Packages for Enterprise Linux (EPEL) di operasi patching Anda, Anda harus menentukan ketiga repositori tersebut sebagai repositori alternatif.
**catatan**
Menjalankan baseline patch khusus yang menentukan repositori patch alternatif untuk node terkelola tidak menjadikannya repositori default baru pada sistem operasi. Setelah operasi patching selesai, repositori yang sebelumnya dikonfigurasi sebagai default untuk sistem operasi node tetap default.
**Perilaku patching untuk distribusi berbasis YUM bergantung pada manifes updateinfo.xml**
Saat Anda menentukan repositori patch alternatif untuk distribusi berbasis Yum, seperti Amazon Linux 2, atauRed Hat Enterprise Linux, perilaku patching tergantung pada apakah repositori menyertakan manifes pembaruan dalam bentuk file yang lengkap dan diformat dengan benar. `updateinfo.xml` file ini menentukan tanggal rilis, klasifikasi, dan tingkat kepelikan dari berbagai paket. Salah satu dari hal berikut ini akan mempengaruhi perilaku patching:
+ Jika Anda memfilter **Klasifikasi** dan **Tingkat kepelikan**, tetapi keduanya tidak ditentukan dalam `updateinfo.xml`, paket tidak akan disertakan oleh filter. Ini juga berarti bahwa paket tanpa file `updateinfo.xml` tidak akan disertakan dalam patching.
+ Jika Anda memfilter **ApprovalAfterDays**, tetapi tanggal rilis paket tidak dalam format Unix Epoch (atau tidak memiliki tanggal rilis yang ditentukan), paket tidak akan disertakan oleh filter.
+ Ada pengecualian jika Anda memilih kotak centang **Sertakan pembaruan non-keamanan** di halaman **dasar Buat tambalan**. Dalam hal ini, paket tanpa file `updateinfo.xml` (atau yang berisi file ini tanpa format **Klasifikasi**, **Tingkat kepelikan**, dan nilai **Tanggal** yang benar) *akan* disertakan ke dalam daftar patch pra-filter. (Mereka tetap harus memenuhi persyaratan aturan dasar patch lainnya agar dapat diinstal.)
## Contoh penggunaan untuk repositori sumber patch alternatif
**Contoh 1 - Pembaruan Nonsecurity untuk Ubuntu Server**
Anda sudah menggunakan Patch Manager untuk menginstal patch keamanan pada armada node Ubuntu Server terkelola menggunakan baseline patch yang telah ditentukan AWS-provided. `AWS-UbuntuDefaultPatchBaseline` Anda dapat membuat dasar patch yang didasarkan pada default ini, tapi dalam aturan persetujuan Anda menentukan bahwa Anda ingin turut menginstal pembaruan non-keamanan yang merupakan bagian dari distribusi default. Ketika baseline patch ini dijalankan terhadap node Anda, patch untuk masalah keamanan dan nonsecurity diterapkan. Anda juga dapat memilih untuk menyetujui patch non-keamanan di pengecualian patch yang Anda tentukan untuk dasar.
**Contoh 2 - Personal Package Archives (PPA) untuk Ubuntu Server**
Node Ubuntu Server terkelola Anda menjalankan perangkat lunak yang didistribusikan melalui [Personal Package Archives (PPA) untuk Ubuntu](https://launchpad.net/ubuntu/+ppas). Dalam hal ini, Anda membuat baseline patch yang menentukan repositori PPA yang telah Anda konfigurasikan pada node terkelola sebagai repositori sumber untuk operasi patching. Kemudian gunakan Run Command untuk menjalankan dokumen baseline patch pada node.
**Contoh 3 - Aplikasi Perusahaan Internal pada versi Amazon Linux yang didukung**
Anda perlu menjalankan beberapa aplikasi yang diperlukan untuk kepatuhan peraturan industri pada node yang dikelola Amazon Linux Anda. Anda dapat mengkonfigurasi repositori untuk aplikasi ini pada node, menggunakan YUM untuk menginstal aplikasi pada awalnya, dan kemudian memperbarui atau membuat baseline patch baru untuk memasukkan repositori perusahaan baru ini. Setelah ini Anda dapat menggunakan Run Command untuk menjalankan `AWS-RunPatchBaseline` dokumen dengan `Scan` opsi untuk melihat apakah paket perusahaan terdaftar di antara paket yang diinstal dan up to date pada node yang dikelola. Jika belum diperbarui, Anda dapat menjalankan dokumen lagi menggunakan opsi `Install` untuk memperbarui aplikasi.
# Cara menginstal patch
Patch Manager, alat di AWS Systems Manager, menggunakan manajer paket bawaan sistem operasi untuk menginstal pembaruan pada node yang dikelola. Misalnya, ia menggunakan Windows Update API di Windows Server dan `DNF` di Amazon Linux 2023. Patch Manager menghormati manajer paket dan konfigurasi repositori yang ada pada node, termasuk pengaturan seperti status repositori, cermin URLs, verifikasi GPG, dan opsi seperti. `skip_if_unavailable`
Patch Managertidak menginstal paket baru yang menggantikan paket usang yang saat ini diinstal. (Pengecualian: Paket baru adalah ketergantungan dari pembaruan paket lain yang sedang diinstal, atau paket baru memiliki nama yang sama dengan paket usang.) Sebagai gantinya, Patch Manager laporkan dan instal pembaruan yang tersedia untuk paket yang diinstal. Pendekatan ini membantu mencegah perubahan tak terduga pada fungsionalitas sistem Anda yang mungkin terjadi ketika satu paket menggantikan yang lain.
Jika Anda perlu menghapus paket yang telah dibuat usang dan menginstal penggantinya, Anda mungkin perlu menggunakan skrip khusus atau menggunakan perintah manajer paket di luar operasi standarPatch Manager.
Pilih dari tab berikut untuk mempelajari cara Patch Manager menginstal tambalan pada sistem operasi.
------
#### [ Amazon Linux 2 and Amazon Linux 2023 ]
Di node terkelola Amazon Linux 2 dan Amazon Linux 2023, alur kerja penginstalan tambalan adalah sebagai berikut:
1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.
Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.
Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.
Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.
1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.
1. API pembaruan YUM (Amazon Linux 2) atau API pembaruan DNF (Amazon Linux 2023) diterapkan ke tambalan yang disetujui sebagai berikut:
+ Untuk garis dasar patch default yang telah ditentukan yang disediakan oleh AWS, hanya tambalan yang ditentukan dalam yang `updateinfo.xml` diterapkan (hanya pembaruan keamanan). Ini karena kotak centang **Sertakan pembaruan nonkeamanan** tidak dipilih. Garis dasar yang telah ditentukan setara dengan baseline kustom dengan yang berikut:
+ Kotak centang **Sertakan pembaruan nonkeamanan** tidak dipilih
+ Daftar KEPARAHAN `[Critical, Important]`
+ Daftar KLASIFIKASI `[Security, Bugfix]`
Untuk Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:
```
sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y
```
Untuk Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:
```
sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y
```
Jika kotak centang **Sertakan pembaruan nonkeamanan** dipilih, semua tambalan `updateinfo.xml` dan yang tidak masuk `updateinfo.xml` akan diterapkan (pembaruan keamanan dan nonkeamanan).
Untuk Amazon Linux 2, jika baseline dengan **Sertakan pembaruan nonsecurity** dipilih, memiliki daftar KEPARAHAN `[Critical, Important]` dan daftar KLASIFIKASI`[Security, Bugfix]`, perintah yum yang setara adalah:
```
sudo yum update --security --sec-severity=Critical,Important --bugfix -y
```
Untuk Amazon Linux 2023, perintah dnf yang setara adalah:
```
sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
```
**catatan**
Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini `yum` atau `dnf` perintah di luar. Patch Manager Namun, mereka *tidak* diinstal oleh Patch Manager operasi yang setara.
**Detail tambalan tambahan untuk Amazon Linux 2023**
Support untuk tingkat keparahan 'Tidak Ada'
Amazon Linux 2023 juga mendukung tingkat keparahan patch`None`, yang diakui oleh manajer paket DNF.
Support untuk tingkat keparahan 'Medium'
Untuk Amazon Linux 2023, tingkat keparahan patch `Medium` setara dengan tingkat keparahan `Moderate` yang mungkin ditentukan di beberapa repositori eksternal. Jika Anda menyertakan patch `Medium` keparahan di baseline patch, patch `Moderate` keparahan dari patch eksternal juga diinstal pada instance.
Saat Anda menanyakan data kepatuhan menggunakan tindakan API [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatches.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatches.html), pemfilteran untuk tingkat keparahan akan `Medium` melaporkan tambalan dengan tingkat keparahan keduanya `Medium` dan. `Moderate`
Penanganan ketergantungan transitif untuk Amazon Linux 2023
Untuk Amazon Linux 2023, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda dari perintah yang setara yang diinstal. `dnf` Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).
Misalnya, `dnf upgrade-minimal --security` menginstal versi *minimal* dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal versi ** terbaru yang tersedia dari dependensi transitif yang sama.
1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)
**catatan**
Konfigurasi default untuk manajer paket pada distribusi Linux mungkin diatur untuk melewati repositori paket yang tidak dapat dijangkau tanpa kesalahan. Dalam kasus seperti itu, operasi penambalan terkait berlangsung tanpa menginstal pembaruan dari repositori dan diakhiri dengan sukses. Untuk menerapkan pembaruan repositori, tambahkan `skip_if_unavailable=False` ke konfigurasi repositori.
Untuk informasi selengkapnya tentang `skip_if_available` opsi, lihat[Konektivitas ke sumber patch](patch-manager-prerequisites.md#source-connectivity).
------
#### [ CentOS Aliran ]
Pada node CentOS Stream terkelola, alur kerja instalasi patch adalah sebagai berikut:
1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.
Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.
Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.
Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.
Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.
1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.
1. Pembaruan DNF pada CentOS Stream diterapkan ke tambalan yang disetujui.
**catatan**
UntukCentOS Stream, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda dari perintah yang setara `dnf` yang diinstal. Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).
Misalnya, `dnf upgrade-minimal ‐‐security` menginstal versi *minimal* dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal *versi terbaru yang tersedia* dari dependensi transitif yang sama.
1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)
------
#### [ Debian Server ]
Pada instans Debian Server, alur kerja instalasi patch adalah sebagai berikut:
1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.
1. Jika pembaruan tersedia untuk `python3-apt` (antarmuka pustaka Python ke`libapt`), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi **Sertakan pembaruan nonsecurity**.)
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.
**catatan**
Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalDebian Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.
Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.
Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.
Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.
**catatan**
UntukDebian Server, versi kandidat tambalan terbatas pada tambalan yang disertakan di `debian-security` dalamnya.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.
1. Pustaka APT digunakan untuk memutakhirkan paket.
**catatan**
Patch Managertidak mendukung penggunaan `Pin-Priority` opsi APT untuk menetapkan prioritas ke paket. Patch Managermenggabungkan pembaruan yang tersedia dari semua repositori yang diaktifkan dan memilih pembaruan terbaru yang cocok dengan baseline untuk setiap paket yang diinstal.
1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)
------
#### [ macOS ]
Pada node macOS terkelola, alur kerja instalasi patch adalah sebagai berikut:
1. Daftar properti `/Library/Receipts/InstallHistory.plist` adalah catatan perangkat lunak yang telah diinstal dan dimutakhirkan menggunakan pengelola paket `softwareupdate` dan `installer`. Menggunakan alat baris perintah `pkgutil` (untuk `installer`) dan pengelola paket `softwareupdate`, perintah CLI dijalankan untuk mengurai daftar ini.
Untuk`installer`, respons terhadap perintah CLI mencakup`package name`,,`version`, `volume``location`, dan `install-time` detail, tetapi hanya `package name` dan `version` digunakan oleh. Patch Manager
Untuk `softwareupdate`, respon terhadap perintah CLI meliputi nama paket (`display name`), `version`, dan `date`, tetapi hanya nama paket dan versi yang digunakan oleh Patch Manager.
Untuk Brew dan Brew Cask, Homebrew tidak mendukung perintahnya berjalan dalam kendali pengguna root. Akibatnya, Patch Manager kueri untuk dan menjalankan perintah Homebrew baik sebagai pemilik direktori Homebrew atau sebagai pengguna valid milik grup pemilik direktori Homebrew. Perintahnya mirip dengan `softwareupdate` dan `installer` dan dijalankan melalui sub-proses Python untuk mengumpulkan data paket, dan outputnya diurai untuk mengidentifikasi nama dan versi paket.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.
1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.
1. Memanggil CLI paket yang sesuai pada node terkelola untuk memproses tambalan yang disetujui sebagai berikut:
**catatan**
`installer` tidak memiliki fungsi untuk memeriksa dan menginstal pembaruan. Oleh karena itu`installer`, untuk, Patch Manager hanya melaporkan paket mana yang diinstal. Akibatnya, paket `installer` tidak pernah dilaporkan sebagai `Missing`.
+ Untuk baseline patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang **Sertakan pembaruan non-keamanan** *tidak* dipilih, hanya pembaruan keamanan yang diterapkan.
+ Untuk garis dasar tambalan khusus di mana kotak centang **Sertakan pembaruan non-keamanan** *dipilih*, pembaruan keamanan dan nonkeamanan diterapkan.
1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)
------
#### [ Oracle Linux ]
Pada node Oracle Linux terkelola, alur kerja instalasi patch adalah sebagai berikut:
1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.
Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.
Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.
Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.
1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.
1. Pada node terkelola versi 7, API pembaruan YUM diterapkan ke tambalan yang disetujui sebagai berikut:
+ Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang **Sertakan pembaruan non-keamanan** *tidak* dipilih, hanya tambalan yang ditentukan dalam `updateinfo.xml` yang diterapkan (hanya pembaruan keamanan).
Perintah setara yum untuk alur kerja ini adalah:
```
sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y
```
+ Untuk baseline patch kustom di mana kotak centang **Sertakan pembaruan non-keamanan** *dipilih*, tambalan yang masuk `updateinfo.xml` dan yang tidak `updateinfo.xml` ada diterapkan (pembaruan keamanan dan nonkeamanan).
Perintah setara yum untuk alur kerja ini adalah:
```
sudo yum update --security --bugfix -y
```
Pada node terkelola versi 8 dan 9, API pembaruan DNF diterapkan ke tambalan yang disetujui sebagai berikut:
+ Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang **Sertakan pembaruan non-keamanan** *tidak* dipilih, hanya tambalan yang ditentukan dalam `updateinfo.xml` yang diterapkan (hanya pembaruan keamanan).
Perintah setara yum untuk alur kerja ini adalah:
```
sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important
```
**catatan**
Untuk Oracle Linux, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda dari perintah yang setara menginstal. `dnf` Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).
Misalnya, `dnf upgrade-minimal --security` menginstal versi *minimal* dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal *versi terbaru yang tersedia* dari dependensi transitif yang sama.
+ Untuk baseline patch kustom di mana kotak centang **Sertakan pembaruan non-keamanan** *dipilih*, tambalan yang masuk `updateinfo.xml` dan yang tidak `updateinfo.xml` ada diterapkan (pembaruan keamanan dan nonkeamanan).
Perintah setara yum untuk alur kerja ini adalah:
```
sudo dnf upgrade --security --bugfix
```
**catatan**
Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini `yum` atau `dnf` perintah di luar. Patch Manager Namun, mereka *tidak* diinstal oleh Patch Manager operasi yang setara.
1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)
**catatan**
Konfigurasi default untuk manajer paket pada distribusi Linux mungkin diatur untuk melewati repositori paket yang tidak dapat dijangkau tanpa kesalahan. Dalam kasus seperti itu, operasi penambalan terkait berlangsung tanpa menginstal pembaruan dari repositori dan diakhiri dengan sukses. Untuk menerapkan pembaruan repositori, tambahkan `skip_if_unavailable=False` ke konfigurasi repositori.
Untuk informasi selengkapnya tentang `skip_if_available` opsi, lihat[Konektivitas ke sumber patch](patch-manager-prerequisites.md#source-connectivity).
------
#### [ AlmaLinux, RHEL, and Linux Rocky ]
Pada AlmaLinux,Red Hat Enterprise Linux, dan node Rocky Linux terkelola, alur kerja instalasi patch adalah sebagai berikut:
1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.
Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.
Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.
Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.
1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.
1. API pembaruan YUM (pada RHEL 7) atau API pembaruan DNF (pada AlmaLinux 8 dan 9, RHEL 8, 9, dan 10, dan Rocky Linux 8 dan 9) diterapkan pada tambalan yang disetujui sesuai dengan aturan berikut:
**Skenario 1: Pembaruan non-keamanan dikecualikan**
+ **Berlaku untuk**: Garis dasar patch default yang telah ditentukan yang disediakan oleh AWS dan baseline patch kustom.
+ **Sertakan kotak centang pembaruan non-keamanan**: *Tidak* dipilih.
+ **Patch diterapkan**: Patch yang ditentukan dalam `updateinfo.xml` (hanya pembaruan keamanan) diterapkan *hanya* jika keduanya cocok dengan konfigurasi baseline patch dan ditemukan di repo yang dikonfigurasi.
Dalam beberapa kasus, tambalan yang ditentukan `updateinfo.xml` mungkin tidak lagi tersedia di repo yang dikonfigurasi. Repo yang dikonfigurasi biasanya hanya memiliki versi terbaru dari tambalan, yang merupakan roll-up kumulatif dari semua pembaruan sebelumnya, tetapi versi terbaru mungkin tidak cocok dengan aturan dasar tambalan dan dihilangkan dari operasi penambalan.
+ **Perintah**: Untuk RHEL 7, perintah yum yang setara untuk alur kerja ini adalah:
```
sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y
```
Untuk AlmaLinux, RHEL 8, danRocky Linux, perintah dnf yang setara untuk alur kerja ini adalah:
```
sudo dnf update-minimal --sec-severity=Critical --bugfix -y ; \
sudo dnf update-minimal --sec-severity=Important --bugfix -y
```
**catatan**
Untuk AlmaLinux,RHEL, dan Rocky Linux Rocky Linux, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda dari perintah yang setara yang diinstal. `dnf` Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).
Misalnya, `dnf upgrade-minimal --security` menginstal versi *minimal* dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal *versi terbaru yang tersedia* dari dependensi transitif yang sama.
**Skenario 2: Pembaruan non-keamanan disertakan**
+ **Apel ke**: Garis dasar tambalan khusus.
+ **Sertakan kotak centang pembaruan non-keamanan**: Dipilih.
+ **Patch diterapkan**: Patch in `updateinfo.xml` *dan* yang tidak masuk `updateinfo.xml` diterapkan (pembaruan keamanan dan nonsecurity).
+ **Perintah**: Untuk RHEL 7, perintah yum yang setara untuk alur kerja ini adalah:
```
sudo yum update --security --bugfix -y
```
Untuk AlmaLinux 8 dan 9, RHEL 8 dan 9, dan Rocky Linux 8 dan 9, perintah dnf setara untuk alur kerja ini adalah:
```
sudo dnf update --security --bugfix -y
```
**catatan**
Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini `yum` atau `dnf` perintah di luar. Patch Manager Namun, mereka *tidak* diinstal oleh Patch Manager operasi yang setara.
1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)
**catatan**
Konfigurasi default untuk manajer paket pada distribusi Linux mungkin diatur untuk melewati repositori paket yang tidak dapat dijangkau tanpa kesalahan. Dalam kasus seperti itu, operasi penambalan terkait berlangsung tanpa menginstal pembaruan dari repositori dan diakhiri dengan sukses. Untuk menerapkan pembaruan repositori, tambahkan `skip_if_unavailable=False` ke konfigurasi repositori.
Untuk informasi selengkapnya tentang `skip_if_available` opsi, lihat[Konektivitas ke sumber patch](patch-manager-prerequisites.md#source-connectivity).
------
#### [ SLES ]
Pada node terkelola SUSE Linux Enterprise Server (SLES), alur kerja instalasi patch adalah sebagai berikut:
1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.
Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.
Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.
Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.
1. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.
1. API pembaruan Zypper diterapkan untuk patch yang disetujui.
1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)
------
#### [ Ubuntu Server ]
Pada node Ubuntu Server terkelola, alur kerja instalasi patch adalah sebagai berikut:
1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter `InstallOverrideList` untuk dokumen `AWS-RunPatchBaseline` atau `AWS-RunPatchBaselineAssociation`, patch yang terdaftar diinstal dan langkah 2-7 dilewati.
1. Jika pembaruan tersedia untuk `python3-apt` (antarmuka pustaka Python ke`libapt`), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi **Sertakan pembaruan nonsecurity**.)
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)seperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)seperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.
**catatan**
Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.
Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.
Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.
Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.
Namun, aturan persetujuan juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.
**catatan**
Untuk setiap versiUbuntu Server, versi kandidat tambalan terbatas pada tambalan yang merupakan bagian dari repo terkait untuk versi tersebut, sebagai berikut:
Ubuntu Server16.04 LTS: `xenial-security`
Ubuntu Server18.04 LTS: `bionic-security`
Ubuntu Server20.04 LTS): `focal-security`
Ubuntu Server22.04 LTS: `jammy-security`
Ubuntu Server24.04 LTS () `noble-security`
Ubuntu Server25.04 () `plucky-security`
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)seperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters)atau jika tidak ada aturan persetujuan yang ditentukan dalam [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules)memberikan persetujuan.
1. Terapkan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)seperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.
1. Pustaka APT digunakan untuk memutakhirkan paket.
**catatan**
Patch Managertidak mendukung penggunaan `Pin-Priority` opsi APT untuk menetapkan prioritas ke paket. Patch Managermenggabungkan pembaruan yang tersedia dari semua repositori yang diaktifkan dan memilih pembaruan terbaru yang cocok dengan baseline untuk setiap paket yang diinstal.
1. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).)
------
#### [ Windows Server ]
Ketika operasi patching dilakukan pada node Windows Server terkelola, node meminta snapshot dari baseline patch yang sesuai dari Systems Manager. snapshot ini berisi daftar semua pembaruan yang tersedia di dasar patch yang disetujui untuk deployment. Daftar pembaruan ini dikirim ke Windows Update API, yang menentukan pembaruan mana yang berlaku untuk node terkelola dan menginstalnya sesuai kebutuhan. Windows hanya mengizinkan versi KB terbaru yang tersedia untuk diinstal. Patch Managermenginstal versi terbaru KB saat KB, atau versi KB sebelumnya, cocok dengan baseline patch yang diterapkan. Jika ada pembaruan yang diinstal, node terkelola akan di-boot ulang setelahnya, sebanyak yang diperlukan untuk menyelesaikan semua tambalan yang diperlukan. (Pengecualian: Jika `RebootOption` parameter disetel ke `NoReboot` dalam `AWS-RunPatchBaseline` dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihat[Nama parameter: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption).) Ringkasan operasi penambalan dapat ditemukan di output Run Command permintaan. Log tambahan dapat ditemukan pada node terkelola di `%PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs` folder.
Karena API Pembaruan Windows digunakan untuk mengunduh dan menginstal KBs, semua pengaturan Kebijakan Grup untuk Pembaruan Windows dihormati. Tidak ada pengaturan Kebijakan Grup yang diperlukan untuk digunakanPatch Manager, tetapi pengaturan apa pun yang telah Anda tetapkan akan diterapkan, seperti mengarahkan node terkelola ke server Windows Server Update Services (WSUS).
**catatan**
Secara default, Windows mengunduh semua KBs dari situs Pembaruan Windows Microsoft karena Patch Manager menggunakan API Pembaruan Windows untuk mendorong unduhan dan penginstalan KBs. Akibatnya, node yang dikelola harus dapat mencapai situs Pembaruan Microsoft Windows atau tambalan akan gagal. Atau, Anda dapat mengonfigurasi server WSUS untuk berfungsi sebagai repositori KB dan mengonfigurasi node terkelola Anda untuk menargetkan server WSUS menggunakan Kebijakan Grup.
Patch Managermungkin mereferensikan KB IDs saat membuat baseline tambalan khusus untukWindows Server, seperti ketika daftar **tambalan yang Disetujui** atau daftar **tambalan Ditolak** disertakan konfigurasi dasar. Hanya pembaruan yang diberi ID KB di Pembaruan Microsoft Windows atau server WSUS yang diinstal olehPatch Manager. Pembaruan yang tidak memiliki ID KB tidak termasuk dalam operasi penambalan.
Untuk informasi tentang membuat baseline patch kustom, lihat topik berikut:
[Membuat baseline patch khusus untuk Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)
[Buat baseline patch (CLI)](patch-manager-create-a-patch-baseline-for-windows.md)
[Format nama paket untuk sistem operasi Windows](patch-manager-approved-rejected-package-name-formats.md#patch-manager-approved-rejected-package-name-formats-windows)
------
# Cara kerja aturan dasar patch pada sistem berbasis Linux
Aturan dalam dasar patch untuk distribusi Linux beroperasi dengan cara yang berbeda berdasarkan jenis distribusi. Tidak seperti pembaruan tambalan pada node Windows Server terkelola, aturan dievaluasi pada setiap node untuk mempertimbangkan repo yang dikonfigurasi pada instance. Patch Manager, alat di AWS Systems Manager, menggunakan manajer paket asli untuk mendorong instalasi tambalan yang disetujui oleh baseline patch.
Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau patch individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti [Common Vulnerability Scoring System](https://www.first.org/cvss/) (CVSS), atau dari metrik yang dirilis oleh [National](https://nvd.nist.gov/vuln) Vulnerability Database (NVD).
**Topics**
+ [Cara kerja aturan dasar patch di Amazon Linux 2 dan Amazon Linux 2023](#linux-rules-amazon-linux)
+ [Cara kerja aturan dasar patch pada CentOS Stream](#linux-rules-centos)
+ [Cara kerja aturan dasar patch pada Debian Server](#linux-rules-debian)
+ [Cara kerja aturan dasar patch pada macOS](#linux-rules-macos)
+ [Cara kerja aturan dasar patch pada Oracle Linux](#linux-rules-oracle)
+ [Cara kerja aturan dasar tambalan AlmaLinux,, dan RHEL Rocky Linux](#linux-rules-rhel)
+ [Cara kerja aturan dasar patch pada SUSE Linux Enterprise Server](#linux-rules-sles)
+ [Cara kerja aturan dasar patch pada Ubuntu Server](#linux-rules-ubuntu)
## Cara kerja aturan dasar patch di Amazon Linux 2 dan Amazon Linux 2023
**catatan**
Amazon Linux 2023 (AL2023) menggunakan repositori berversi yang dapat dikunci ke versi tertentu melalui satu atau beberapa pengaturan sistem. Untuk semua operasi penambalan pada instans AL2023 EC2Patch Manager, gunakan versi repositori terbaru, terlepas dari konfigurasi sistem. Untuk informasi selengkapnya, lihat [Peningkatan deterministik melalui repositori berversi](https://docs.aws.amazon.com/linux/al2023/ug/deterministic-upgrades.html) di Panduan Pengguna *Amazon* Linux 2023.
Di Amazon Linux 2 dan Amazon Linux 2023, proses pemilihan tambalan adalah sebagai berikut:
1. Pada node terkelola, perpustakaan YUM (Amazon Linux 2) atau pustaka DNF (Amazon Linux 2023) mengakses `updateinfo.xml` file untuk setiap repo yang dikonfigurasi.
**Jika tidak ada `updateinfo.xml` file yang ditemukan, apakah patch diinstal tergantung pada pengaturan untuk **Sertakan pembaruan non-keamanan** dan Persetujuan otomatis.** Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.
1. Setiap pemberitahuan pembaruan di `updateinfo.xml` mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.
**Atribut pemberitahuan pembaruan**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)
Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
1. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch.
1. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)
Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).
## Cara kerja aturan dasar patch pada CentOS Stream
Repositori CentOS Stream default tidak menyertakan file`updateinfo.xml`. Namun, repositori khusus yang Anda buat atau gunakan mungkin menyertakan file ini. Dalam topik ini, referensi hanya `updateinfo.xml` berlaku untuk repositori kustom ini.
Pada CentOS Stream, proses pemilihan patch adalah sebagai berikut:
1. Pada node terkelola, pustaka DNF mengakses `updateinfo.xml` file, jika ada di repositori khusus, untuk setiap repo yang dikonfigurasi.
**Jika tidak `updateinfo.xml` ditemukan, yang selalu menyertakan repo default, apakah tambalan diinstal tergantung pada pengaturan untuk **Sertakan pembaruan non-keamanan** dan Persetujuan otomatis.** Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.
1. Jika `updateinfo.xml` ada, setiap pemberitahuan pembaruan dalam file menyertakan beberapa atribut yang menunjukkan properti paket dalam pemberitahuan, seperti yang dijelaskan dalam tabel berikut.
**Atribut pemberitahuan pembaruan**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)
Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
1. Dalam semua kasus, produk dari node yang dikelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch.
1. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)
Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).
## Cara kerja aturan dasar patch pada Debian Server
*PadaDebian Server, layanan baseline patch menawarkan pemfilteran pada bidang *Prioritas dan Bagian*.* Bidang ini biasanya hadir untuk semua Debian Server paket. Untuk menentukan apakah patch dipilih oleh baseline patch, Patch Manager lakukan hal berikut:
1. Pada Debian Server sistem, setara `sudo apt-get update` dijalankan untuk menyegarkan daftar paket yang tersedia. Repo tidak dikonfigurasi dan data ditarik dari repo yang dikonfigurasi dalam daftar `sources`.
1. Jika pembaruan tersedia untuk `python3-apt` (antarmuka pustaka Python ke`libapt`), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi **Sertakan pembaruan nonsecurity**.)
1. Selanjutnya [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters), [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)daftar [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules), [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)dan diterapkan.
**catatan**
Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalDebian Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.
Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.
Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. Dalam hal ini, untukDebian Server, versi kandidat tambalan terbatas pada tambalan yang disertakan dalam repo berikut:
Repo ini dinamakan sebagai berikut:
+ Debian Server11: `debian-security bullseye`
+ Debian Server12: `debian-security bookworm`
Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.
Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
Untuk melihat konten bidang *Prioritas* dan *Bagian*, jalankan perintah `aptitude` berikut ini:
**catatan**
Anda mungkin perlu menginstal Aptitude terlebih dahulu pada Debian Server sistem.
```
aptitude search -F '%p %P %s %t %V#' '~U'
```
Dalam menanggapi perintah ini, semua paket yang dapat dimutakhirkan dilaporkan dalam format ini:
```
name, priority, section, archive, candidate version
```
Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).
## Cara kerja aturan dasar patch pada macOS
Pada macOS, proses pemilihan patch adalah sebagai berikut:
1. Pada node terkelola, Patch Manager mengakses konten `InstallHistory.plist` file yang diurai dan mengidentifikasi nama dan versi paket.
Untuk detail tentang proses penguraian, lihat tab **macOS** dalam [Cara menginstal patch](patch-manager-installing-patches.md).
1. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch.
1. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)
Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).
## Cara kerja aturan dasar patch pada Oracle Linux
Pada Oracle Linux, proses pemilihan patch adalah sebagai berikut:
1. Pada node terkelola, pustaka YUM mengakses `updateinfo.xml` file untuk setiap repo yang dikonfigurasi.
**catatan**
file `updateinfo.xml` mungkin tidak tersedia jika repo tidak dikelola oleh Oracle. **Jika tidak `updateinfo.xml` ditemukan, apakah patch diinstal tergantung pada pengaturan untuk **Sertakan pembaruan non-keamanan** dan Persetujuan otomatis.** Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.
1. Setiap pemberitahuan pembaruan di `updateinfo.xml` mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.
**Atribut pemberitahuan pembaruan**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)
Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
1. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch.
1. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)
Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).
## Cara kerja aturan dasar tambalan AlmaLinux,, dan RHEL Rocky Linux
Pada AlmaLinux, Red Hat Enterprise Linux (RHEL), danRocky Linux, proses pemilihan tambalan adalah sebagai berikut:
1. Pada node terkelola, perpustakaan YUM (RHEL7) atau pustaka DNF (AlmaLinux 8 dan 9, RHEL 8, 9, dan 10, dan Rocky Linux 8 dan 9) mengakses `updateinfo.xml` file untuk setiap repo yang dikonfigurasi.
**catatan**
file `updateinfo.xml` mungkin tidak tersedia jika repo tidak dikelola oleh Red Hat. Jika tidak ada `updateinfo.xml` yang ditemukan, tidak ada patch yang diterapkan.
1. Setiap pemberitahuan pembaruan di `updateinfo.xml` mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.
**Atribut pemberitahuan pembaruan**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)
Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
1. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch.
1. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/patch-manager-linux-rules.html)
Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).
## Cara kerja aturan dasar patch pada SUSE Linux Enterprise Server
Pada SLES, setiap patch mencakup atribut berikut ini yang menunjukkan properti paket dalam patch tersebut:
+ **Kategori**: Sesuai dengan nilai atribut kunci **Klasifikasi** dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch. Menunjukkan jenis patch yang disertakan dalam pemberitahuan pembaruan.
Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah **[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-properties.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-properties.html)** atau operasi API**[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchProperties.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchProperties.html)**. Anda juga dapat melihat daftar di area **Aturan persetujuan** pada halaman **Buat dasar patch** atau halaman **Edit dasar patch** di konsol Systems Manager.
+ **Keparahan**: Sesuai dengan nilai atribut kunci **Keparahan** dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch. Menunjukkan tingkat kepelikan patch.
Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah **[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-properties.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-patch-properties.html)** atau operasi API**[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchProperties.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchProperties.html)**. Anda juga dapat melihat daftar di area **Aturan persetujuan** pada halaman **Buat dasar patch** atau halaman **Edit dasar patch** di konsol Systems Manager.
Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci **Produk** dalam tipe [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PatchFilter.html)data baseline patch.
Untuk setiap patch, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.
Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
## Cara kerja aturan dasar patch pada Ubuntu Server
*PadaUbuntu Server, layanan baseline patch menawarkan pemfilteran pada bidang *Prioritas dan Bagian*.* Bidang ini biasanya hadir untuk semua Ubuntu Server paket. Untuk menentukan apakah patch dipilih oleh baseline patch, Patch Manager lakukan hal berikut:
1. Pada Ubuntu Server sistem, setara `sudo apt-get update` dijalankan untuk menyegarkan daftar paket yang tersedia. Repo tidak dikonfigurasi dan data ditarik dari repo yang dikonfigurasi dalam daftar `sources`.
1. Jika pembaruan tersedia untuk `python3-apt` (antarmuka pustaka Python ke`libapt`), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi **Sertakan pembaruan nonsecurity**.)
1. Selanjutnya [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#systemsmanager-CreatePatchBaseline-request-GlobalFilters), [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-RejectedPatches)daftar [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovalRules), [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreatePatchBaseline.html#EC2-CreatePatchBaseline-request-ApprovedPatches)dan diterapkan.
**catatan**
Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.
Namun, aturan persetujuan, juga tunduk pada apakah kontak centang **Sertakan pembaruan non-keamanan** dipilih saat membuat atau terakhir memperbarui dasar patch.
Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. Dalam hal ini, untukUbuntu Server, versi kandidat tambalan terbatas pada tambalan yang disertakan dalam repo berikut:
+ Ubuntu Server16.04 LTS: `xenial-security`
+ Ubuntu Server18.04 LTS: `bionic-security`
+ Ubuntu Server20.04 LTS: `focal-security`
+ Ubuntu Server22,04 LTS () `jammy-security`
+ Ubuntu Server24.04 LTS () `noble-security`
+ Ubuntu Server25.04 () `plucky-security`
Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.
Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat [Format nama paket untuk daftar patch yang disetujui dan ditolak](patch-manager-approved-rejected-package-name-formats.md).
Untuk melihat konten bidang *Prioritas* dan *Bagian*, jalankan perintah `aptitude` berikut ini:
**catatan**
Anda mungkin perlu menginstal Aptitude terlebih dahulu pada Ubuntu Server 16 sistem.
```
aptitude search -F '%p %P %s %t %V#' '~U'
```
Dalam menanggapi perintah ini, semua paket yang dapat dimutakhirkan dilaporkan dalam format ini:
```
name, priority, section, archive, candidate version
```
Untuk informasi tentang nilai status kepatuhan patch, lihat [Nilai status kepatuhan tambalan](patch-manager-compliance-states.md).
# Menambal perbedaan operasi antara Linux dan Windows Server
Topik ini menjelaskan perbedaan penting antara Linux dan Windows Server patching inPatch Manager, alat di AWS Systems Manager.
**catatan**
Untuk menambal node yang dikelola Linux, node Anda harus menjalankan SSM Agent versi 2.0.834.0 atau yang lebih baru.
Versi terbaru dirilis setiap kali alat baru ditambahkan ke Systems Manager atau pembaruan dibuat ke alat yang ada. SSM Agent Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai alat dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses menjaga agar tetap SSM Agent up to date pada mesin Anda. Untuk informasi, lihat [Mengotomatiskan pembaruan ke SSM Agent](ssm-agent-automatic-updates.md). Berlangganan halaman [Catatan SSM Agent Rilis](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md) GitHub untuk mendapatkan pemberitahuan tentang SSM Agent pembaruan.
## Perbedaan 1: Evaluasi patch
Patch Managermenggunakan proses yang berbeda pada node yang dikelola Windows dan node yang dikelola Linux untuk mengevaluasi tambalan mana yang harus ada.
**Linux**
*Untuk patch Linux, Systems Manager mengevaluasi aturan dasar patch dan daftar patch disetujui dan ditolak pada setiap node terkelola.* Systems Manager harus mengevaluasi patching pada setiap node karena layanan mengambil daftar patch yang diketahui dan update dari repositori yang dikonfigurasi pada node terkelola.
**Windows**
Untuk patching Windows, Systems Manager mengevaluasi aturan dasar patch dan daftar patch yang disetujui dan ditolak pada *secara langsung dalam layanan*. Hal ini dapat dilakukan karena patch Windows ditarik dari satu repositori (Windows Update).
## Perbedaan 2: patch `Not Applicable`
Karena banyaknya paket yang tersedia untuk sistem operasi Linux, Systems Manager tidak melaporkan detail tentang patch yang berstatus *Tidak Berlaku*. Patch `Not Applicable` adalah, sebagai contoh, sebuah patch untuk perangkat lunak Apache ketika instans tidak memiliki Apache yang sudah diinstal. Systems Manager melaporkan jumlah `Not Applicable` tambalan dalam ringkasan, tetapi jika Anda memanggil [DescribeInstancePatches](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatches.html)API untuk node terkelola, data yang dikembalikan tidak menyertakan tambalan dengan status. `Not Applicable` Perilaku ini berbeda dari Windows.
## Perbedaan 3: support dokumen SSM
Dokumen `AWS-ApplyPatchBaseline` Systems Manager (dokumen SSM) tidak mendukung node yang dikelola Linux. Untuk menerapkan baseline patch ke Linux,macOS, dan node Windows Server terkelola, dokumen SSM yang disarankan adalah. `AWS-RunPatchBaseline` Untuk informasi selengkapnya, lihat [Dokumen SSM Command untuk menambal node terkelola](patch-manager-ssm-documents.md) dan [Dokumen SSM Command untuk menambal: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).
## Perbedaan 4: Patch aplikasi
Fokus utama Patch Manager adalah menerapkan patch ke sistem operasi. Namun, Anda juga dapat menggunakan Patch Manager untuk menerapkan tambalan ke beberapa aplikasi pada node terkelola Anda.
**Linux**
Pada sistem operasi Linux, Patch Manager menggunakan repositori yang dikonfigurasi untuk pembaruan, dan tidak membedakan antara sistem operasi dan patch aplikasi. Anda dapat menggunakan Patch Manager untuk menentukan repositori mana untuk mengambil pembaruan dari. Untuk informasi selengkapnya, lihat [Cara menentukan repositori sumber patch alternatif (Linux)](patch-manager-alternative-source-repository.md).
**Windows**
Pada node Windows Server terkelola, Anda dapat menerapkan aturan persetujuan, serta pengecualian patch yang *Disetujui* dan *Ditolak*, untuk aplikasi yang dirilis oleh Microsoft, seperti Microsoft Word 2016 dan Microsoft Exchange Server 2016. Untuk informasi selengkapnya, lihat [Bekerja dengan dasar patch kustom](patch-manager-manage-patch-baselines.md).
## Perbedaan 5: Opsi daftar tambalan yang ditolak di baseline patch kustom
Saat Anda membuat baseline patch kustom, Anda dapat menentukan satu atau beberapa tambalan untuk daftar tambalan **Ditolak**. Untuk node yang dikelola Linux, Anda juga dapat memilih untuk mengizinkannya diinstal jika mereka dependensi untuk patch lain yang diizinkan oleh baseline.
Windows Server, bagaimanapun, tidak mendukung konsep dependensi tambalan. Anda dapat menambahkan tambalan ke daftar **tambalan Ditolak** di baseline khusus untukWindows Server, tetapi hasilnya tergantung pada (1) apakah tambalan yang ditolak sudah diinstal pada node terkelola atau tidak, dan (2) opsi mana yang Anda pilih untuk tindakan tambalan **Ditolak**.
Lihat tabel berikut untuk detail tentang opsi tambalan yang ditolakWindows Server.
| Status instalasi | Opsi: “Izinkan sebagai ketergantungan” | Opsi: “Blokir” |
| --- | --- | --- |
| Patch sudah diinstal | Status yang dilaporkan: INSTALLED\$1OTHER | Status yang dilaporkan: INSTALLED\$1REJECTED |
| Patch belum diinstal | Patch dilewati | Patch dilewati |
Setiap patch untuk Windows Server rilis Microsoft biasanya berisi semua informasi yang diperlukan agar instalasi berhasil. Namun, kadang-kadang, paket prasyarat mungkin diperlukan, yang harus Anda instal secara manual. Patch Managertidak melaporkan informasi tentang prasyarat ini. Untuk informasi terkait, lihat [Pemecahan masalah Pembaruan Windows di situs](https://learn.microsoft.com/en-us/troubleshoot/windows-client/installing-updates-features-roles/windows-update-issues-troubleshooting) web Microsoft.