Dokumen SSM Command untuk menambal node terkelola - AWS Systems Manager
Dokumen SSM direkomendasikan untuk menambal node terkelolaDokumen SSM lama untuk menambal node terkelola

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dokumen SSM Command untuk menambal node terkelola

Topik ini menjelaskan sembilan dokumen Systems Manager (dokumen SSM) yang tersedia untuk membantu Anda menjaga node terkelola tetap ditambal dengan pembaruan terkait keamanan terbaru.

Kami merekomendasikan hanya menggunakan lima dokumen ini dalam operasi patching Anda. Bersama-sama, lima dokumen SSM ini memberi Anda berbagai macam opsi patching menggunakan AWS Systems Manager. Empat dari dokumen-dokumen ini dirilis belakangan daripada empat dokumen SSM warisan yang mereka gantikan dan mewakili ekspansi atau konsolidasi fungsi.

Dokumen SSM yang direkomendasikan untuk ditambal

Sebaiknya gunakan lima dokumen SSM berikut dalam operasi patching Anda.

  • AWS-ConfigureWindowsUpdate

  • AWS-InstallWindowsUpdates

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

Dokumen SSM lama untuk ditambal

Empat dokumen SSM lama berikut ini masih tersedia untuk digunakan di beberapa Wilayah AWS tetapi tidak lagi diperbarui, tidak dapat dijamin berfungsi di semua skenario, dan mungkin tidak lagi didukung di masa mendatang. Kami menyarankan Anda untuk tidak menggunakannya dalam operasi penambalan Anda.

  • AWS-ApplyPatchBaseline

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

Rujuk ke bagian berikut ini untuk informasi selengkapnya tentang menggunakan dokumen SSM ini di operasi patching Anda.

Topik

Lima dokumen SSM berikut direkomendasikan untuk digunakan dalam operasi patching node terkelola Anda.

Support konfigurasi fungsi Windows Update dasar dan menggunakannya untuk menginstal pembaruan secara otomatis (atau mematikan pembaruan otomatis). Tersedia di semua Wilayah AWS.

Dokumen SSM ini meminta Pembaruan Windows untuk mengunduh dan menginstal pembaruan yang ditentukan dan me-reboot node yang dikelola sesuai kebutuhan. Gunakan dokumen ini dengan State Manager, alat di AWS Systems Manager, untuk memastikan Pembaruan Windows mempertahankan konfigurasinya. Anda juga dapat menjalankannya secara manual menggunakan Run Command, alat di AWS Systems Manager, untuk mengubah konfigurasi Pembaruan Windows.

Parameter yang tersedia dalam support dokumen ini menentukan kategori pembaruan untuk diinstal (atau apakah akan mematikan pembaruan otomatis), serta menentukan hari dan waktu untuk menjalankan operasi patching. Dokumen SSM ini sangat berguna jika Anda tidak memerlukan kendali ketat atas Windows Update dan tidak perlu mengumpulkan informasi kepatuhan.

Menggantikan dokumen SSM lama:

  • Tidak ada

Menginstal pembaruan pada Windows Server node terkelola. Tersedia di semua Wilayah AWS.

Dokumen SSM ini menyediakan fungsi patching dasar dalam kasus ketika Anda ingin menginstal pembaruan tertentu (menggunakan parameter Include Kbs), atau ingin menginstal patch dengan klasifikasi atau kategori tertentu tetapi tidak memerlukan informasi kepatuhan patch.

Menggantikan dokumen SSM lama:

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

Ketiga dokumen warisan melakukan fungsi yang berbeda, tetapi Anda dapat meraih hasil yang sama dengan menggunakan pengaturan parameter yang berbeda dengan dokumen SSM yang lebih baru AWS-InstallWindowsUpdates. Pengaturan parameter ini dijelaskan dalam Dokumen SSM lama untuk menambal node terkelola.

Menginstal tambalan pada node terkelola atau memindai node untuk menentukan apakah ada patch yang memenuhi syarat yang hilang. Tersedia di semua Wilayah AWS.

AWS-RunPatchBaseline memungkinkan Anda untuk mengendalikan persetujuan patch menggunakan dasar patch yang ditetapkan sebagai "default" untuk sebuah jenis sistem operasi. Melaporkan informasi kepatuhan patch yang dapat Anda lihat menggunakan alat Kepatuhan Systems Manager. Alat-alat ini memberi Anda wawasan tentang status kepatuhan patch dari node terkelola Anda, seperti node mana yang tidak memiliki tambalan dan apa tambalan tersebut. Saat Anda menggunakan AWS-RunPatchBaseline, informasi kepatuhan patch dicatat menggunakan perintah API PutInventory. Untuk sistem operasi Linux, informasi kepatuhan disediakan untuk tambalan dari repositori sumber default yang dikonfigurasi pada node terkelola dan dari repositori sumber alternatif apa pun yang Anda tentukan dalam baseline patch kustom. Untuk informasi selengkapnya tentang repositori sumber alternatif, lihat Cara menentukan repositori sumber patch alternatif (Linux). Untuk informasi selengkapnya tentang alat Kepatuhan Systems Manager, lihat AWS Systems Manager Kepatuhan.

Menggantikan dokumen lama:

  • AWS-ApplyPatchBaseline

Dokumen warisan hanya AWS-ApplyPatchBaseline berlaku untuk Windows Server node terkelola, dan tidak memberikan dukungan untuk patching aplikasi. AWS-RunPatchBaseline yang lebih baru menyediakan support yang sama untuk sistem Windows dan Linux. Versi 2.0.834.0 atau yang lebih baru SSM Agent diperlukan untuk menggunakan AWS-RunPatchBaseline dokumen.

Untuk informasi lebih lanjut tentang dokumen SSM AWS-RunPatchBaseline, lihat Dokumen SSM Command untuk menambal: AWS-RunPatchBaseline.

Menginstal patch pada instans Anda atau memindai instans untuk menentukan apakah ada patch yang memenuhi syarat yang hilang. Tersedia di semua Wilayah AWS komersial.

AWS-RunPatchBaselineAssociation berbeda dengan AWS-RunPatchBaseline dalam beberapa hal penting:

  • AWS-RunPatchBaselineAssociationdimaksudkan untuk digunakan terutama dengan State Manager asosiasi dibuat menggunakan Quick Setup, alat di AWS Systems Manager. Khususnya, ketika Anda menggunakan Quick Setup Jenis konfigurasi Manajemen Host, jika Anda memilih opsi Pindai instance untuk tambalan yang hilang setiap hari, sistem menggunakan AWS-RunPatchBaselineAssociation untuk operasi.

    Namun, dalam kebanyakan kasus, saat menyiapkan operasi patching Anda sendiri, Anda harus memilih AWS-RunPatchBaseline atau AWS-RunPatchBaselineWithHooks sebagai ganti AWS-RunPatchBaselineAssociation.

    Untuk informasi selengkapnya, lihat topik berikut:

  • AWS-RunPatchBaselineAssociation mendukung penggunaan tag untuk mengidentifikasi dasar patch yang digunakan dengan serangkaian target ketika dijalankan.

  • Untuk operasi penambalan yang digunakanAWS-RunPatchBaselineAssociation, data kepatuhan tambalan dikompilasi dalam hal tertentu State Manager asosiasi. data kepatuhan patch dikumpulkan saat AWS-RunPatchBaselineAssociation berjalan dicatat menggunakan perintah API PutComplianceItems dan bukan perintah PutInventory. Hal ini mencegah data kepatuhan yang tidak terkait dengan asosiasi khusus ini ditimpa.

    Untuk sistem operasi Linux, informasi kepatuhan disediakan untuk patch dari repositori sumber default yang dikonfigurasi pada sebuah instans dan juga dari repositori sumber alternatif lain yang Anda tentukan pada sebuah dasar patch kustom. Untuk informasi selengkapnya tentang repositori sumber alternatif, lihat Cara menentukan repositori sumber patch alternatif (Linux). Untuk informasi selengkapnya tentang alat Kepatuhan Systems Manager, lihat AWS Systems Manager Kepatuhan.

Menggantikan dokumen lama:

  • Tidak ada

Untuk informasi lebih lanjut tentang dokumen SSM AWS-RunPatchBaselineAssociation, lihat Dokumen SSM Command untuk menambal: AWS-RunPatchBaselineAssociation.

Menginstal tambalan pada node terkelola atau memindai node untuk menentukan apakah ada patch yang memenuhi syarat yang hilang, dengan kait opsional yang dapat Anda gunakan untuk menjalankan dokumen SSM di tiga titik selama siklus penambalan. Tersedia di semua Wilayah AWS komersial. Tidak didukung pada macOS.

AWS-RunPatchBaselineWithHooks berbeda dengan AWS-RunPatchBaseline dalam hal operasi Install.

AWS-RunPatchBaselineWithHooksmendukung kait siklus hidup yang berjalan pada titik yang ditentukan selama patch node terkelola. Karena instalasi patch kadang-kadang memerlukan node terkelola untuk reboot, operasi patching dibagi menjadi dua peristiwa, dengan total tiga kait yang mendukung fungsionalitas kustom. Kait pertama adalah sebelum operasi Install with NoReboot. Kait kedua adalah setelah operasi Install with NoReboot. Kait ketiga tersedia setelah reboot node.

Menggantikan dokumen lama:

  • Tidak ada

Untuk informasi lebih lanjut tentang dokumen SSM AWS-RunPatchBaselineWithHooks, lihat Dokumen SSM Command untuk menambal: AWS-RunPatchBaselineWithHooks.

Dokumen SSM lama untuk menambal node terkelola

Empat dokumen SSM berikut masih tersedia di beberapa Wilayah AWS. Namun, mereka tidak lagi diperbarui dan mungkin tidak lagi didukung di masa mendatang, jadi kami tidak merekomendasikan penggunaannya. Sebagai gantinya, gunakan dokumen yang dijelaskan dalam Dokumen SSM direkomendasikan untuk menambal node terkelola.

AWS-ApplyPatchBaseline

Hanya mendukung Windows Server node terkelola, tetapi tidak menyertakan dukungan untuk menambal aplikasi yang ditemukan dalam penggantinya,AWS-RunPatchBaseline. Tidak tersedia di Wilayah AWS diluncurkan setelah Agustus 2017.

catatan

Penggantian dokumen SSM ini,AWS-RunPatchBaseline, memerlukan versi 2.0.834.0 atau versi yang lebih baru SSM Agent. Anda dapat menggunakan AWS-UpdateSSMAgent dokumen untuk memperbarui node terkelola Anda ke versi terbaru agen.

AWS-FindWindowsUpdates

Digantikan oleh AWS-InstallWindowsUpdates, yang dapat melakukan semua tindakan yang sama. Tidak tersedia di Wilayah AWS diluncurkan setelah April 2017.

Untuk mencapai hasil yang sama yang biasanya Anda dapatkan dari dokumen SSM warisan ini, gunakan konfigurasi parameter berikut ini dengan dokumen pengganti yang direkomendasikan, AWS-InstallWindowsUpdates:

  • Action = Scan

  • Allow Reboot = False

AWS-InstallMissingWindowsUpdates

Digantikan oleh AWS-InstallWindowsUpdates, yang dapat melakukan semua tindakan yang sama. Tidak tersedia dalam Wilayah AWS peluncuran apa pun setelah April 2017.

Untuk mencapai hasil yang sama yang biasanya Anda dapatkan dari dokumen SSM warisan ini, gunakan konfigurasi parameter berikut ini dengan dokumen pengganti yang direkomendasikan, AWS-InstallWindowsUpdates:

  • Action = Install

  • Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

Digantikan oleh AWS-InstallWindowsUpdates, yang dapat melakukan semua tindakan yang sama. Tidak tersedia dalam Wilayah AWS peluncuran apa pun setelah April 2017.

Untuk mencapai hasil yang sama yang biasanya Anda dapatkan dari dokumen SSM warisan ini, gunakan konfigurasi parameter berikut ini dengan dokumen pengganti yang direkomendasikan, AWS-InstallWindowsUpdates:

  • Action = Install

  • Allow Reboot = True

  • Include Kbs = comma-separated list of KB articles