Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Dokumen SSM Command untuk menambal node terkelola
Topik ini menjelaskan sembilan dokumen Systems Manager (dokumen SSM) yang tersedia untuk membantu Anda menjaga node terkelola tetap ditambal dengan pembaruan terkait keamanan terbaru.
Kami merekomendasikan hanya menggunakan lima dokumen ini dalam operasi patching Anda. Bersama-sama, lima dokumen SSM ini memberi Anda berbagai macam opsi patching menggunakan AWS Systems Manager. Empat dari dokumen-dokumen ini dirilis belakangan daripada empat dokumen SSM warisan yang mereka gantikan dan mewakili ekspansi atau konsolidasi fungsi.
Dokumen SSM yang direkomendasikan untuk ditambal
Sebaiknya gunakan lima dokumen SSM berikut dalam operasi patching Anda.
-
AWS-ConfigureWindowsUpdate
-
AWS-InstallWindowsUpdates
-
AWS-RunPatchBaseline
-
AWS-RunPatchBaselineAssociation
-
AWS-RunPatchBaselineWithHooks
Dokumen SSM lama untuk ditambal
Empat dokumen SSM lama berikut ini masih tersedia untuk digunakan di beberapa Wilayah AWS tetapi tidak lagi diperbarui, tidak dapat dijamin berfungsi di semua skenario, dan mungkin tidak lagi didukung di masa mendatang. Kami menyarankan Anda untuk tidak menggunakannya dalam operasi penambalan Anda.
-
AWS-ApplyPatchBaseline
-
AWS-FindWindowsUpdates
-
AWS-InstallMissingWindowsUpdates
-
AWS-InstallSpecificWindowsUpdates
Rujuk ke bagian berikut ini untuk informasi selengkapnya tentang menggunakan dokumen SSM ini di operasi patching Anda.
Topik
Dokumen SSM direkomendasikan untuk menambal node terkelola
Lima dokumen SSM berikut direkomendasikan untuk digunakan dalam operasi patching node terkelola Anda.
Dokumen SSM yang direkomendasikan
AWS-ConfigureWindowsUpdate
Support konfigurasi fungsi Windows Update dasar dan menggunakannya untuk menginstal pembaruan secara otomatis (atau mematikan pembaruan otomatis). Tersedia di semua Wilayah AWS.
Dokumen SSM ini meminta Pembaruan Windows untuk mengunduh dan menginstal pembaruan yang ditentukan dan me-reboot node yang dikelola sesuai kebutuhan. Gunakan dokumen ini dengan State Manager, alat di AWS Systems Manager, untuk memastikan Pembaruan Windows mempertahankan konfigurasinya. Anda juga dapat menjalankannya secara manual menggunakan Run Command, alat di AWS Systems Manager, untuk mengubah konfigurasi Pembaruan Windows.
Parameter yang tersedia dalam support dokumen ini menentukan kategori pembaruan untuk diinstal (atau apakah akan mematikan pembaruan otomatis), serta menentukan hari dan waktu untuk menjalankan operasi patching. Dokumen SSM ini sangat berguna jika Anda tidak memerlukan kendali ketat atas Windows Update dan tidak perlu mengumpulkan informasi kepatuhan.
Menggantikan dokumen SSM lama:
-
Tidak ada
AWS-InstallWindowsUpdates
Menginstal pembaruan pada Windows Server node terkelola. Tersedia di semua Wilayah AWS.
Dokumen SSM ini menyediakan fungsi patching dasar dalam kasus ketika Anda ingin menginstal pembaruan tertentu (menggunakan parameter Include Kbs
), atau ingin menginstal patch dengan klasifikasi atau kategori tertentu tetapi tidak memerlukan informasi kepatuhan patch.
Menggantikan dokumen SSM lama:
-
AWS-FindWindowsUpdates
-
AWS-InstallMissingWindowsUpdates
-
AWS-InstallSpecificWindowsUpdates
Ketiga dokumen warisan melakukan fungsi yang berbeda, tetapi Anda dapat meraih hasil yang sama dengan menggunakan pengaturan parameter yang berbeda dengan dokumen SSM yang lebih baru AWS-InstallWindowsUpdates
. Pengaturan parameter ini dijelaskan dalam Dokumen SSM lama untuk menambal node terkelola.
AWS-RunPatchBaseline
Menginstal tambalan pada node terkelola atau memindai node untuk menentukan apakah ada patch yang memenuhi syarat yang hilang. Tersedia di semua Wilayah AWS.
AWS-RunPatchBaseline
memungkinkan Anda untuk mengendalikan persetujuan patch menggunakan dasar patch yang ditetapkan sebagai "default" untuk sebuah jenis sistem operasi. Melaporkan informasi kepatuhan patch yang dapat Anda lihat menggunakan alat Kepatuhan Systems Manager. Alat-alat ini memberi Anda wawasan tentang status kepatuhan patch dari node terkelola Anda, seperti node mana yang tidak memiliki tambalan dan apa tambalan tersebut. Saat Anda menggunakan AWS-RunPatchBaseline
, informasi kepatuhan patch dicatat menggunakan perintah API PutInventory
. Untuk sistem operasi Linux, informasi kepatuhan disediakan untuk tambalan dari repositori sumber default yang dikonfigurasi pada node terkelola dan dari repositori sumber alternatif apa pun yang Anda tentukan dalam baseline patch kustom. Untuk informasi selengkapnya tentang repositori sumber alternatif, lihat Cara menentukan repositori sumber patch alternatif (Linux). Untuk informasi selengkapnya tentang alat Kepatuhan Systems Manager, lihat AWS Systems Manager Kepatuhan.
Menggantikan dokumen lama:
-
AWS-ApplyPatchBaseline
Dokumen warisan hanya AWS-ApplyPatchBaseline
berlaku untuk Windows Server node terkelola, dan tidak memberikan dukungan untuk patching aplikasi. AWS-RunPatchBaseline
yang lebih baru menyediakan support yang sama untuk sistem Windows dan Linux. Versi 2.0.834.0 atau yang lebih baru SSM Agent diperlukan untuk menggunakan AWS-RunPatchBaseline
dokumen.
Untuk informasi lebih lanjut tentang dokumen SSM AWS-RunPatchBaseline
, lihat Dokumen SSM Command untuk menambal: AWS-RunPatchBaseline.
AWS-RunPatchBaselineAssociation
Menginstal patch pada instans Anda atau memindai instans untuk menentukan apakah ada patch yang memenuhi syarat yang hilang. Tersedia di semua Wilayah AWS komersial.
AWS-RunPatchBaselineAssociation
berbeda dengan AWS-RunPatchBaseline
dalam beberapa hal penting:
-
AWS-RunPatchBaselineAssociation
dimaksudkan untuk digunakan terutama dengan State Manager asosiasi dibuat menggunakan Quick Setup, alat di AWS Systems Manager. Khususnya, ketika Anda menggunakan Quick Setup Jenis konfigurasi Manajemen Host, jika Anda memilih opsi Pindai instance untuk tambalan yang hilang setiap hari, sistem menggunakanAWS-RunPatchBaselineAssociation
untuk operasi.Namun, dalam kebanyakan kasus, saat menyiapkan operasi patching Anda sendiri, Anda harus memilih AWS-RunPatchBaseline atau AWS-RunPatchBaselineWithHooks sebagai ganti
AWS-RunPatchBaselineAssociation
.Untuk informasi selengkapnya, lihat topik berikut:
-
AWS-RunPatchBaselineAssociation
mendukung penggunaan tag untuk mengidentifikasi dasar patch yang digunakan dengan serangkaian target ketika dijalankan. -
Untuk operasi penambalan yang digunakan
AWS-RunPatchBaselineAssociation
, data kepatuhan tambalan dikompilasi dalam hal tertentu State Manager asosiasi. data kepatuhan patch dikumpulkan saatAWS-RunPatchBaselineAssociation
berjalan dicatat menggunakan perintah APIPutComplianceItems
dan bukan perintahPutInventory
. Hal ini mencegah data kepatuhan yang tidak terkait dengan asosiasi khusus ini ditimpa.Untuk sistem operasi Linux, informasi kepatuhan disediakan untuk patch dari repositori sumber default yang dikonfigurasi pada sebuah instans dan juga dari repositori sumber alternatif lain yang Anda tentukan pada sebuah dasar patch kustom. Untuk informasi selengkapnya tentang repositori sumber alternatif, lihat Cara menentukan repositori sumber patch alternatif (Linux). Untuk informasi selengkapnya tentang alat Kepatuhan Systems Manager, lihat AWS Systems Manager Kepatuhan.
Menggantikan dokumen lama:
-
Tidak ada
Untuk informasi lebih lanjut tentang dokumen SSM AWS-RunPatchBaselineAssociation
, lihat Dokumen SSM Command untuk menambal: AWS-RunPatchBaselineAssociation.
AWS-RunPatchBaselineWithHooks
Menginstal tambalan pada node terkelola atau memindai node untuk menentukan apakah ada patch yang memenuhi syarat yang hilang, dengan kait opsional yang dapat Anda gunakan untuk menjalankan dokumen SSM di tiga titik selama siklus penambalan. Tersedia di semua Wilayah AWS komersial. Tidak didukung pada macOS.
AWS-RunPatchBaselineWithHooks
berbeda dengan AWS-RunPatchBaseline
dalam hal operasi Install
.
AWS-RunPatchBaselineWithHooks
mendukung kait siklus hidup yang berjalan pada titik yang ditentukan selama patch node terkelola. Karena instalasi patch kadang-kadang memerlukan node terkelola untuk reboot, operasi patching dibagi menjadi dua peristiwa, dengan total tiga kait yang mendukung fungsionalitas kustom. Kait pertama adalah sebelum operasi Install with NoReboot
. Kait kedua adalah setelah operasi Install with NoReboot
. Kait ketiga tersedia setelah reboot node.
Menggantikan dokumen lama:
-
Tidak ada
Untuk informasi lebih lanjut tentang dokumen SSM AWS-RunPatchBaselineWithHooks
, lihat Dokumen SSM Command untuk menambal: AWS-RunPatchBaselineWithHooks.
Dokumen SSM lama untuk menambal node terkelola
Empat dokumen SSM berikut masih tersedia di beberapa Wilayah AWS. Namun, mereka tidak lagi diperbarui dan mungkin tidak lagi didukung di masa mendatang, jadi kami tidak merekomendasikan penggunaannya. Sebagai gantinya, gunakan dokumen yang dijelaskan dalam Dokumen SSM direkomendasikan untuk menambal node terkelola.
Dokumen SSM Warisan
AWS-ApplyPatchBaseline
Hanya mendukung Windows Server node terkelola, tetapi tidak menyertakan dukungan untuk menambal aplikasi yang ditemukan dalam penggantinya,AWS-RunPatchBaseline
. Tidak tersedia di Wilayah AWS diluncurkan setelah Agustus 2017.
catatan
Penggantian dokumen SSM ini,AWS-RunPatchBaseline
, memerlukan versi 2.0.834.0 atau versi yang lebih baru SSM Agent. Anda dapat menggunakan AWS-UpdateSSMAgent
dokumen untuk memperbarui node terkelola Anda ke versi terbaru agen.
AWS-FindWindowsUpdates
Digantikan oleh AWS-InstallWindowsUpdates
, yang dapat melakukan semua tindakan yang sama. Tidak tersedia di Wilayah AWS diluncurkan setelah April 2017.
Untuk mencapai hasil yang sama yang biasanya Anda dapatkan dari dokumen SSM warisan ini, gunakan konfigurasi parameter berikut ini dengan dokumen pengganti yang direkomendasikan, AWS-InstallWindowsUpdates
:
-
Action
=Scan
-
Allow Reboot
=False
AWS-InstallMissingWindowsUpdates
Digantikan oleh AWS-InstallWindowsUpdates
, yang dapat melakukan semua tindakan yang sama. Tidak tersedia dalam Wilayah AWS peluncuran apa pun setelah April 2017.
Untuk mencapai hasil yang sama yang biasanya Anda dapatkan dari dokumen SSM warisan ini, gunakan konfigurasi parameter berikut ini dengan dokumen pengganti yang direkomendasikan, AWS-InstallWindowsUpdates
:
-
Action
=Install
-
Allow Reboot
=True
AWS-InstallSpecificWindowsUpdates
Digantikan oleh AWS-InstallWindowsUpdates
, yang dapat melakukan semua tindakan yang sama. Tidak tersedia dalam Wilayah AWS peluncuran apa pun setelah April 2017.
Untuk mencapai hasil yang sama yang biasanya Anda dapatkan dari dokumen SSM warisan ini, gunakan konfigurasi parameter berikut ini dengan dokumen pengganti yang direkomendasikan, AWS-InstallWindowsUpdates
:
-
Action
=Install
-
Allow Reboot
=True
-
Include Kbs
=comma-separated list of KB articles