Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
SSMDokumen perintah untuk menambal node terkelola
Topik ini menjelaskan sembilan dokumen Systems Manager (SSMdokumen) yang tersedia untuk membantu Anda menjaga node terkelola tetap ditambal dengan pembaruan terkait keamanan terbaru.
Kami merekomendasikan hanya menggunakan lima dokumen ini dalam operasi patching Anda. Bersama-sama, kelima SSM dokumen ini memberi Anda berbagai opsi penambalan yang digunakan AWS Systems Manager. Empat dari dokumen ini dirilis lebih lambat dari empat SSM dokumen lama yang mereka ganti dan mewakili ekspansi atau konsolidasi fungsionalitas.
SSMDokumen yang direkomendasikan untuk ditambal
Sebaiknya gunakan lima SSM dokumen berikut dalam operasi penambalan Anda.
-
AWS-ConfigureWindowsUpdate -
AWS-InstallWindowsUpdates -
AWS-RunPatchBaseline -
AWS-RunPatchBaselineAssociation -
AWS-RunPatchBaselineWithHooks
SSMDokumen lama untuk ditambal
Empat SSM dokumen lama berikut masih tersedia untuk digunakan di beberapa Wilayah AWS tetapi tidak lagi diperbarui, tidak dapat dijamin berfungsi di semua skenario, dan mungkin tidak lagi didukung di masa mendatang. Kami menyarankan Anda untuk tidak menggunakannya dalam operasi penambalan Anda.
-
AWS-ApplyPatchBaseline -
AWS-FindWindowsUpdates -
AWS-InstallMissingWindowsUpdates -
AWS-InstallSpecificWindowsUpdates
Lihat bagian berikut untuk informasi lebih lanjut tentang penggunaan SSM dokumen-dokumen ini dalam operasi penambalan Anda.
Topik
- SSMdokumen yang direkomendasikan untuk menambal node terkelola
- SSMDokumen lama untuk menambal node terkelola
- SSMDokumen perintah untuk menambal: AWS-RunPatchBaseline
- SSMDokumen perintah untuk menambal: AWS-RunPatchBaselineAssociation
- SSMDokumen perintah untuk menambal: AWS-RunPatchBaselineWithHooks
- Contoh skenario untuk menggunakan InstallOverrideList parameter di AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation
- Menggunakan BaselineOverride parameter
SSMdokumen yang direkomendasikan untuk menambal node terkelola
Lima SSM dokumen berikut direkomendasikan untuk digunakan dalam operasi patching node terkelola Anda.
SSMDokumen yang direkomendasikan
AWS-ConfigureWindowsUpdate
Support konfigurasi fungsi Windows Update dasar dan menggunakannya untuk menginstal pembaruan secara otomatis (atau mematikan pembaruan otomatis). Tersedia di semua Wilayah AWS.
SSMDokumen ini meminta Pembaruan Windows untuk mengunduh dan menginstal pembaruan yang ditentukan dan me-reboot node yang dikelola sesuai kebutuhan. Gunakan dokumen ini dengan State Manager, kemampuan AWS Systems Manager, untuk memastikan Pembaruan Windows mempertahankan konfigurasinya. Anda juga dapat menjalankannya secara manual menggunakan Run Command, kemampuan AWS Systems Manager, untuk mengubah konfigurasi Pembaruan Windows.
Parameter yang tersedia dalam support dokumen ini menentukan kategori pembaruan untuk diinstal (atau apakah akan mematikan pembaruan otomatis), serta menentukan hari dan waktu untuk menjalankan operasi patching. SSMDokumen ini sangat berguna jika Anda tidak memerlukan kontrol ketat atas pembaruan Windows dan tidak perlu mengumpulkan informasi kepatuhan.
Menggantikan dokumen lamaSSM:
-
Tidak ada
AWS-InstallWindowsUpdates
Menginstal pembaruan pada Windows Server node terkelola. Tersedia di semua Wilayah AWS.
SSMDokumen ini menyediakan fungsionalitas penambalan dasar jika Anda ingin menginstal pembaruan tertentu (menggunakan Include Kbs parameter), atau ingin menginstal tambalan dengan klasifikasi atau kategori tertentu tetapi tidak memerlukan informasi kepatuhan tambalan.
Menggantikan dokumen lamaSSM:
-
AWS-FindWindowsUpdates -
AWS-InstallMissingWindowsUpdates -
AWS-InstallSpecificWindowsUpdates
Tiga dokumen lama melakukan fungsi yang berbeda, tetapi Anda dapat mencapai hasil yang sama dengan menggunakan pengaturan parameter yang berbeda dengan dokumen yang lebih baruSSM. AWS-InstallWindowsUpdates Pengaturan parameter ini dijelaskan dalam SSMDokumen lama untuk menambal node terkelola.
AWS-RunPatchBaseline
Menginstal tambalan pada node terkelola atau memindai node untuk menentukan apakah ada patch yang memenuhi syarat yang hilang. Tersedia di semua Wilayah AWS.
AWS-RunPatchBaseline memungkinkan Anda untuk mengendalikan persetujuan patch menggunakan dasar patch yang ditetapkan sebagai "default" untuk sebuah jenis sistem operasi. Melaporkan informasi kepatuhan patch yang dapat Anda lihat menggunakan alat Kepatuhan Systems Manager. Alat-alat ini memberi Anda wawasan tentang status kepatuhan patch dari node terkelola Anda, seperti node mana yang tidak memiliki tambalan dan apa tambalan tersebut. Saat Anda menggunakanAWS-RunPatchBaseline, informasi kepatuhan tambalan direkam menggunakan PutInventory API perintah. Untuk sistem operasi Linux, informasi kepatuhan disediakan untuk tambalan dari repositori sumber default yang dikonfigurasi pada node terkelola dan dari repositori sumber alternatif apa pun yang Anda tentukan dalam baseline patch kustom. Untuk informasi selengkapnya tentang repositori sumber alternatif, lihat Cara menentukan repositori sumber patch alternatif (Linux). Untuk informasi selengkapnya tentang alat Kepatuhan Systems Manager, lihat AWS Systems Manager Kepatuhan.
Menggantikan dokumen lama:
-
AWS-ApplyPatchBaseline
Dokumen warisan hanya AWS-ApplyPatchBaseline berlaku untuk Windows Server node terkelola, dan tidak memberikan dukungan untuk patching aplikasi. AWS-RunPatchBaseline yang lebih baru menyediakan support yang sama untuk sistem Windows dan Linux. Versi 2.0.834.0 atau yang lebih baru SSM Agent diperlukan untuk menggunakan AWS-RunPatchBaseline dokumen.
Untuk informasi lebih lanjut tentang AWS-RunPatchBaseline SSM dokumen, lihatSSMDokumen perintah untuk menambal: AWS-RunPatchBaseline.
AWS-RunPatchBaselineAssociation
Menginstal patch pada instans Anda atau memindai instans untuk menentukan apakah ada patch yang memenuhi syarat yang hilang. Tersedia di semua Wilayah AWS komersial.
AWS-RunPatchBaselineAssociation berbeda dengan AWS-RunPatchBaseline dalam beberapa hal penting:
-
AWS-RunPatchBaselineAssociationdimaksudkan untuk digunakan terutama dengan State Manager asosiasi dibuat menggunakan Quick Setup, kemampuan AWS Systems Manager. Khususnya, ketika Anda menggunakan Quick Setup Jenis konfigurasi Manajemen Host, jika Anda memilih opsi Pindai instance untuk tambalan yang hilang setiap hari, sistem menggunakanAWS-RunPatchBaselineAssociationuntuk operasi.Namun, dalam kebanyakan kasus, saat menyiapkan operasi patching Anda sendiri, Anda harus memilih AWS-RunPatchBaseline atau AWS-RunPatchBaselineWithHooks sebagai ganti
AWS-RunPatchBaselineAssociation.Untuk informasi selengkapnya, lihat topik berikut:
-
AWS-RunPatchBaselineAssociationmendukung penggunaan tag untuk mengidentifikasi dasar patch yang digunakan dengan serangkaian target ketika dijalankan. -
Untuk operasi penambalan yang digunakan
AWS-RunPatchBaselineAssociation, data kepatuhan tambalan dikompilasi dalam hal tertentu State Manager asosiasi. Data kepatuhan patch yang dikumpulkan saatAWS-RunPatchBaselineAssociationdijalankan direkam menggunakanPutComplianceItemsAPI perintah alih-alihPutInventoryperintah. Hal ini mencegah data kepatuhan yang tidak terkait dengan asosiasi khusus ini ditimpa.Untuk sistem operasi Linux, informasi kepatuhan disediakan untuk patch dari repositori sumber default yang dikonfigurasi pada sebuah instans dan juga dari repositori sumber alternatif lain yang Anda tentukan pada sebuah dasar patch kustom. Untuk informasi selengkapnya tentang repositori sumber alternatif, lihat Cara menentukan repositori sumber patch alternatif (Linux). Untuk informasi selengkapnya tentang alat Kepatuhan Systems Manager, lihat AWS Systems Manager Kepatuhan.
Menggantikan dokumen lama:
-
Tidak ada
Untuk informasi lebih lanjut tentang AWS-RunPatchBaselineAssociation SSM dokumen, lihatSSMDokumen perintah untuk menambal: AWS-RunPatchBaselineAssociation.
AWS-RunPatchBaselineWithHooks
Menginstal tambalan pada node terkelola atau memindai node untuk menentukan apakah ada patch yang memenuhi syarat yang hilang, dengan kait opsional yang dapat Anda gunakan untuk menjalankan SSM dokumen pada tiga titik selama siklus penambalan. Tersedia di semua Wilayah AWS komersial. Tidak didukung pada macOS.
AWS-RunPatchBaselineWithHooks berbeda dengan AWS-RunPatchBaseline dalam hal operasi Install.
AWS-RunPatchBaselineWithHooksmendukung kait siklus hidup yang berjalan pada titik yang ditentukan selama patch node terkelola. Karena instalasi patch kadang-kadang memerlukan node terkelola untuk reboot, operasi patching dibagi menjadi dua peristiwa, dengan total tiga kait yang mendukung fungsionalitas kustom. Kait pertama adalah sebelum operasi Install with NoReboot. Kait kedua adalah setelah operasi Install with NoReboot. Kait ketiga tersedia setelah reboot node.
Menggantikan dokumen lama:
-
Tidak ada
Untuk informasi lebih lanjut tentang AWS-RunPatchBaselineWithHooks SSM dokumen, lihatSSMDokumen perintah untuk menambal: AWS-RunPatchBaselineWithHooks.
SSMDokumen lama untuk menambal node terkelola
Empat SSM dokumen berikut masih tersedia di beberapa Wilayah AWS. Namun, mereka tidak lagi diperbarui dan mungkin tidak lagi didukung di masa mendatang, jadi kami tidak merekomendasikan penggunaannya. Sebagai gantinya, gunakan dokumen yang dijelaskan dalam SSMdokumen yang direkomendasikan untuk menambal node terkelola.
Dokumen Warisan SSM
AWS-ApplyPatchBaseline
Hanya mendukung Windows Server node terkelola, tetapi tidak menyertakan dukungan untuk menambal aplikasi yang ditemukan dalam penggantinya,AWS-RunPatchBaseline. Tidak tersedia di Wilayah AWS diluncurkan setelah Agustus 2017.
catatan
Penggantian untuk SSM dokumen ini,AWS-RunPatchBaseline, memerlukan versi 2.0.834.0 atau versi yang lebih baru SSM Agent. Anda dapat menggunakan AWS-UpdateSSMAgent dokumen untuk memperbarui node terkelola Anda ke versi terbaru agen.
AWS-FindWindowsUpdates
Digantikan oleh AWS-InstallWindowsUpdates, yang dapat melakukan semua tindakan yang sama. Tidak tersedia di Wilayah AWS diluncurkan setelah April 2017.
Untuk mencapai hasil yang sama seperti yang Anda lakukan dari SSM dokumen lama ini, gunakan konfigurasi parameter berikut dengan dokumen pengganti yang disarankan,AWS-InstallWindowsUpdates:
-
Action=Scan -
Allow Reboot=False
AWS-InstallMissingWindowsUpdates
Digantikan oleh AWS-InstallWindowsUpdates, yang dapat melakukan semua tindakan yang sama. Tidak tersedia dalam Wilayah AWS peluncuran apa pun setelah April 2017.
Untuk mencapai hasil yang sama seperti yang Anda lakukan dari SSM dokumen lama ini, gunakan konfigurasi parameter berikut dengan dokumen pengganti yang disarankan,AWS-InstallWindowsUpdates:
-
Action=Install -
Allow Reboot=True
AWS-InstallSpecificWindowsUpdates
Digantikan oleh AWS-InstallWindowsUpdates, yang dapat melakukan semua tindakan yang sama. Tidak tersedia dalam Wilayah AWS peluncuran apa pun setelah April 2017.
Untuk mencapai hasil yang sama seperti yang Anda lakukan dari SSM dokumen lama ini, gunakan konfigurasi parameter berikut dengan dokumen pengganti yang disarankan,AWS-InstallWindowsUpdates:
-
Action=Install -
Allow Reboot=True -
Include Kbs=comma-separated list of KB articles
