Patch Manager prasyarat - AWS Systems Manager
SSM Agent versiVersi PythonKonektivitas ke sumber patchAkses titik akhir S3Izin untuk menginstal tambalan secara lokalSistem operasi yang didukung untuk Patch Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Patch Manager prasyarat

Pastikan bahwa Anda telah memenuhi prasyarat yang diperlukan sebelum menggunakan Patch Manager, suatu kemampuan AWS Systems Manager.

SSM Agent versi

Versi 2.0.834.0 atau yang lebih baru SSM Agent berjalan pada node terkelola yang ingin Anda kelola Patch Manager.

catatan

Versi terbaru dari SSM Agent dirilis setiap kali kemampuan baru ditambahkan ke Systems Manager atau pembaruan dibuat untuk kemampuan yang sudah ada. Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai kemampuan dan fitur Systems Manager. Untuk alasan itu, kami merekomendasikan Anda mengotomatiskan proses pemeliharaan SSM Agent up to date pada mesin Anda. Untuk informasi, lihat Mengotomatiskan pembaruan ke SSM Agent. Berlangganan ke SSM AgentHalaman Catatan Rilis di GitHub untuk mendapatkan notifikasi tentang SSM Agent pembaruan.

Versi Python

Untuk macOS dan sebagian besar sistem operasi Linux (OSs), Patch Manager saat ini mendukung Python versi 2.6 - 3.10. Yang AlmaLinux, Debian Server, Raspberry Pi OS, dan Ubuntu Server OSsmemerlukan versi Python 3 yang didukung (3.0 - 3.10).

Konektivitas ke sumber patch

Jika node yang dikelola tidak memiliki koneksi langsung ke Internet dan Anda menggunakan Amazon Virtual Private Cloud (AmazonVPC) dengan VPC endpoint, Anda harus memastikan bahwa node tersebut memiliki akses ke repositori (repo) patch sumber. Pada node Linux, pembaruan patch biasanya diunduh dari repo jarak jauh yang dikonfigurasikan pada node. Oleh karena itu, node harus dapat tersambung ke repo sehingga patching dapat dilakukan. Untuk informasi selengkapnya, lihat Cara pemilihan patch keamanan.

CentOS dan CentOS Stream: Aktifkan EnableNonSecurity bendera

Node CentOS 6 dan 7 menggunakan Yum sebagai pengelola paket. CentOS 8 dan CentOS Stream node digunakan DNF sebagai pengelola paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu.

Namun, CentOS dan CentOS Stream repo default tidak dikonfigurasi dengan pemberitahuan pembaruan. Ini artinya bahwa Patch Manager tidak mendeteksi paket pada CentOS default dan CentOS Stream repo. Untuk mengizinkan Patch Manager untuk memproses paket yang tidak terdapat dalam pemberitahuan pembaruan, Anda harus mengaktifkan EnableNonSecurity bendera dalam aturan dasar patch.

Windows Server: Pastikan konektivitas ke Katalog Pembaruan Windows atau Layanan Pembaruan Windows Server (WSUS)

Windows Server node yang dikelola harus dapat tersambung ke Katalog Pembaruan Windows atau Windows Server Update Services (WSUS). Konfirmasikan bahwa node Anda memiliki konektivitas ke Katalog Pembaruan Microsoft melalui gateway internet, NAT gateway, atau NAT instans. Jika Anda menggunakanWSUS, konfirmasikan bahwa node memiliki konektivitas ke WSUS server di lingkungan Anda. Untuk informasi selengkapnya, lihat Masalah: node terkelola tidak memiliki akses ke Katalog Pembaruan Windows atau WSUS.

Akses titik akhir S3

Apakah node yang dikelola beroperasi di jaringan privat atau publik, tanpa akses ke bucket Amazon Simple Storage Service (Amazon S3) yang AWS dikelola, operasi patching gagal. Untuk informasi tentang bucket S3 node terkelola Anda harus dapat mengakses, lihat SSM Agent komunikasi dengan bucket S3 AWS terkelola dan. Meningkatkan keamanan EC2 instans dengan menggunakan VPC endpoint untuk Systems Manager

Izin untuk menginstal tambalan secara lokal

Pada Windows Server Sistem operasi Linux, Patch Manager mengasumsikan Administrator dan akun pengguna root, masing-masing, untuk menginstal tambalan.

Pada macOSNamun, untuk Brew dan Brew Cask, Homebrew tidak mendukung perintahnya berjalan di bawah akun pengguna root. Akibatnya, Patch Manager kueri untuk dan menjalankan perintah Homebrew baik sebagai pemilik direktori Homebrew, atau sebagai pengguna valid yang berada di grup pemilik direktori Homebrew. Oleh karena itu, untuk menginstal tambalan, pemilik homebrew direktori juga memerlukan izin pemilik rekursif untuk direktori. /usr/local

Tip

Perintah berikut memberikan izin ini untuk pengguna yang ditentukan:

sudo chown -R $USER:admin /usr/local

Sistem operasi yang didukung untuk Patch Manager

Bagian Patch Manager Capabilitas tidak mendukung semua versi sistem operasi yang sama yang didukung oleh kemampuan Systems Manager lainnya. Misalnya, Patch Manager tidak mendukung CentOS 6.3 atau Raspberry Pi OS 8 (Jessie). (Untuk daftar lengkap sistem operasi yang didukung oleh Systems Manager, lihat Sistem operasi yang didukung untuk Systems Manager.) Oleh karena itu, pastikan bahwa node terkelola yang ingin Anda gunakan Patch Manager menjalankan salah satu sistem operasi tercantum dalam tabel berikut.

catatan

Patch Manager bergantung pada repositori patch yang dikonfigurasi pada node terkelola, seperti Katalog Pembaruan Windows dan Layanan Pembaruan Server Windows untuk Windows, untuk mengambil tambalan yang tersedia untuk diinstal. Oleh karena itu, untuk versi sistem operasi akhir masa pakai (EOL), jika tidak ada pembaruan baru yang tersedia, Patch Manager Mungkin tidak dapat melaporkan pembaruan baru. Ini bisa karena tidak ada pembaruan baru yang dirilis oleh pengelola distribusi Linux, Microsoft, atau Apple, atau karena node yang dikelola tidak memiliki lisensi yang tepat untuk mengakses pembaruan baru.

Patch Manager melaporkan status kepatuhan terhadap tambalan yang tersedia pada node terkelola. Oleh karena itu, jika sebuah instance menjalankan sistem EOL operasi, dan tidak ada pembaruan yang tersedia, Patch Manager mungkin melaporkan node sebagai Compliant, tergantung pada garis dasar tambalan yang dikonfigurasi untuk operasi penambalan.

Sistem operasi Detail

Linux

  • AlmaLinux 8 .x, 9 .x

  • Amazon Linux 2012.03—2018.03

  • Amazon Linux 2 versi 2.0 dan semua versi yang lebih baru

  • Amazon Linux 2022

  • Amazon Linux 2023

  • CentOS 6.5—7.9, 8 .x

  • CentOS Stream 8, 9

  • Debian Server 8.x, 9.x, 10.x, 11.x, dan 12.x

  • Oracle Linux 7,5—8 .x, 9 .x

  • Raspberry Pi OS (sebelumnya Raspbian) 9 (Stretch)

  • Red Hat Enterprise Linux (RHEL) 6,5—8 .x, 9.x

  • Rocky Linux 8 .x, 9 .x

  • SUSE Linux Enterprise Server (SLES) 12.0 dan yang lebih baru 12 .x versi; 15.x

  • Ubuntu Server 14.04LTS, 16.04, 18.04LTS, 20.04LTS, 20.10, 22.04LTS, 23.04STR, 23.10, 24.04LTS, dan 24.10
macOS

11.3.1; 11.4—11.7 (Big Sur)

12.0—12.6 (Monterey)

13.0—13.5 (Ventura)

14.x (Sonoma)

macOS Pembaruan OS

Patch Manager tidak mendukung pembaruan sistem operasi (OS) atau peningkatan untuk macOS, seperti dari 12.x hingga 13.x atau 13.1 hingga 13.2. Untuk melakukan pembaruan versi OS pada macOS, kami sarankan menggunakan mekanisme peningkatan OS bawaan Apple. Untuk informasi selengkapnya, lihat Manajemen Perangkat di situs web Dokumentasi Pengembang Apple.

Dukungan Homebrew

Sistem manajemen paket perangkat lunak sumber terbuka Homebrew telah menghentikan dukungan untuk macOS 10.14.x (Mojave) dan 10.15.x (Catalina). Akibatnya, operasi penambalan pada versi ini saat ini tidak didukung.

Dukungan Wilayah

macOS tidak didukung sama sekali Wilayah AWS. Untuk informasi lebih lanjut tentang EC2 dukungan Amazon untuk macOS, lihat Instans Amazon EC2 Mac di Panduan EC2 Pengguna Amazon.

macOS perangkat tepi

SSM Agent untuk perangkat AWS IoT Greengrass inti tidak didukung pada macOS. Anda tidak bisa menggunakan Patch Manager untuk menambal macOS perangkat tepi.

Windows

Windows Server 2008 melalui Windows Server 2025, termasuk versi R2.

catatan

SSM Agent untuk perangkat AWS IoT Greengrass inti tidak didukung pada Windows 10. Anda tidak bisa menggunakan Patch Manager untuk menambal perangkat tepi Windows 10.

Windows Server Dukungan 2008

Pada 14 Januari 2020, Windows Server 2008 tidak lagi didukung untuk pembaruan fitur atau keamanan dari Microsoft. Warisan Amazon Machine Images (AMIs) untuk Windows Server 2008 dan 2008 R2 masih termasuk versi 2 dari SSM Agent sudah diinstal sebelumnya, tetapi Systems Manager tidak lagi secara resmi mendukung versi 2008 dan tidak lagi memperbarui agen untuk versi ini Windows Server. Selain itu, SSM Agent Versi 3 mungkin tidak kompatibel dengan semua operasi Windows Server 2008 dan 2008 R2. Versi final yang didukung secara resmi dari SSM Agent untuk Windows Server Versi 2008 adalah 2.3.1644.0.

Windows Server Dukungan 2012 dan 2012 R2

Windows Server 2012 dan 2012 R2 mencapai akhir dukungan pada 10 Oktober 2023. Untuk menggunakan Patch Manager dengan versi ini, kami sarankan juga menggunakan Pembaruan Keamanan Diperpanjang (ESUs) dari Microsoft. Untuk informasi selengkapnya, silakan lihat Windows Server 2012 dan 2012 R2 mencapai akhir dukungan di situs web Microsoft.