Konfigurasikan penambalan untuk instance dalam organisasi menggunakan Quick Setup - AWS Systems Manager
Wilayah yang Didukung untuk konfigurasi kebijakan tambalanIzin untuk bucket S3 kebijakan patchBaseline patch acak IDs dalam operasi kebijakan tambalanMembuat kebijakan tambalan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan penambalan untuk instance dalam organisasi menggunakan Quick Setup

Dengan Quick Setup, alat di AWS Systems Manager, Anda dapat membuat kebijakan tambalan yang didukung oleh Patch Manager. Kebijakan tambalan menentukan jadwal dan garis dasar yang akan digunakan saat menambal instans Amazon Elastic Compute Cloud ( EC2Amazon) dan node terkelola lainnya secara otomatis. Dengan menggunakan konfigurasi kebijakan tambalan tunggal, Anda dapat menentukan penambalan untuk semua akun dalam beberapa akun Wilayah AWS di organisasi Anda, hanya untuk akun dan Wilayah yang Anda pilih, atau untuk satu pasangan Account-region. Untuk informasi selengkapnya tentang kebijakan tambalan, lihatKonfigurasi kebijakan tambalan di Quick Setup.

Prasyarat

Untuk menentukan kebijakan tambalan untuk node menggunakan Quick Setup, simpul harus berupa simpul yang dikelola. Untuk informasi selengkapnya tentang mengelola node Anda, lihatMenyiapkan konsol terpadu Systems Manager untuk organisasi.

penting

Metode pemindaian kepatuhan patch — Systems Manager mendukung beberapa metode untuk memindai node terkelola untuk kepatuhan patch. Jika Anda menerapkan lebih dari satu metode ini sekaligus, informasi kepatuhan patch yang Anda lihat selalu merupakan hasil dari pemindaian terbaru. Hasil dari pemindaian sebelumnya ditimpa. Jika metode pemindaian menggunakan baseline patch yang berbeda, dengan aturan persetujuan yang berbeda, informasi kepatuhan patch dapat berubah secara tak terduga. Untuk informasi selengkapnya, lihat Menghindari penimpaan data kepatuhan patch yang tidak disengaja.

Status kepatuhan asosiasi dan kebijakan tambalan — Status patching untuk node terkelola yang berada di bawah Quick Setup kebijakan tambalan cocok dengan status State Manager eksekusi asosiasi untuk node itu. Jika status eksekusi asosiasi adalahCompliant, status patching untuk node terkelola juga ditandaiCompliant. Jika status eksekusi asosiasi adalahNon-Compliant, status patching untuk node terkelola juga ditandaiNon-Compliant.

Wilayah yang Didukung untuk konfigurasi kebijakan tambalan

Konfigurasi kebijakan tambalan di Quick Setup saat ini didukung di Wilayah berikut:

  • AS Timur (Ohio) (us-east-2)

  • AS Timur (Virginia Utara) (us-east-1)

  • AS Barat (California Utara) (us-west-1)

  • AS Barat (Oregon) (us-west-2)

  • Asia Pacific (Mumbai) (ap-south-1)

  • Asia Pacific (Seoul) (ap-northeast-2)

  • Asia Pasifik (Singapura) (ap-southeast-1)

  • Asia Pacific (Sydney) (ap-southeast-2)

  • Asia Pacific (Tokyo) (ap-northeast-1)

  • Kanada (Pusat) (ca-central-1)

  • Eropa (Frankfurt) (eu-central-1)

  • Eropa (Irlandia) (eu-west-1)

  • Eropa (London) (eu-west-2)

  • Eropa (Paris) (eu-west-3)

  • Eropa (Stockholm) (eu-north-1)

  • Amerika Selatan (Sao Paulo) (sa-east-1)

Izin untuk bucket S3 kebijakan patch

Saat Anda membuat kebijakan tambalan, Quick Setup membuat bucket Amazon S3 yang berisi file bernama. baseline_overrides.json File ini menyimpan informasi tentang garis dasar tambalan yang Anda tentukan untuk kebijakan tambalan Anda.

Bucket S3 dinamai dalam formataws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id.

Misalnya: aws-quicksetup-patchpolicy-123456789012-abcde

Jika Anda membuat kebijakan tambalan untuk organisasi, bucket akan dibuat di akun manajemen organisasi Anda.

Ada dua kasus penggunaan ketika Anda harus memberikan izin kepada AWS sumber daya lain untuk mengakses kebijakan bucket S3 menggunakan AWS Identity and Access Management (IAM) ini:

Kebijakan izin yang Anda perlukan dalam kedua kasus terletak di bagian di bawah ini. Izin kebijakan untuk Quick Setup Bucket S3

Kasus 1: Gunakan profil instans atau peran layanan Anda sendiri dengan node terkelola, bukan yang disediakan oleh Quick Setup

Konfigurasi kebijakan tambalan menyertakan opsi untuk Menambahkan kebijakan IAM yang diperlukan ke profil instans yang ada yang dilampirkan ke instance Anda.

Jika Anda tidak memilih opsi ini tetapi ingin Quick Setup untuk menambal node terkelola Anda menggunakan kebijakan tambalan ini, Anda harus memastikan bahwa hal-hal berikut diterapkan:

  • Kebijakan terkelola IAM AmazonSSMManagedInstanceCore harus dilampirkan ke profil instans IAM atau peran layanan IAM yang digunakan untuk memberikan izin Systems Manager ke node terkelola Anda.

  • Anda harus menambahkan izin untuk mengakses keranjang kebijakan tambalan sebagai kebijakan inline ke profil instans IAM atau peran layanan IAM. Anda dapat memberikan akses wildcard ke semua aws-quicksetup-patchpolicy bucket atau hanya bucket khusus yang dibuat untuk organisasi atau akun Anda, seperti yang ditunjukkan pada contoh kode sebelumnya.

  • Anda harus menandai profil instans IAM atau peran layanan IAM Anda dengan pasangan nilai kunci berikut.

    Key: QSConfigId-quick-setup-configuration-id, Value: quick-setup-configuration-id

    quick-setup-configuration-idmewakili nilai parameter yang diterapkan ke AWS CloudFormation tumpukan yang digunakan dalam membuat konfigurasi kebijakan tambalan Anda. Untuk mengambil ID ini, lakukan hal berikut:

    1. Buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

    2. Pilih nama tumpukan yang digunakan untuk membuat kebijakan tambalan Anda. Namanya dalam format sepertiStackSet-AWS-QuickSetup-PatchPolicy-LA-q4bkg-52cd2f06-d0f9-499e-9818-d887cEXAMPLE.

    3. Pilih tab Parameter.

    4. Dalam daftar Parameter, di kolom Kunci, cari QSConfigurationID kunci. Di kolom Nilai untuk barisnya, cari ID konfigurasi, sepertiabcde.

      Dalam contoh ini, agar tag diterapkan ke profil instans atau peran layanan Anda, kuncinya adalahQSConfigId-abcde, dan nilainya adalahabcde.

Untuk informasi tentang menambahkan tag ke peran IAM, lihat Menandai peran IAM dan Mengelola tag pada profil instans (AWS CLI atau AWS API) di Panduan Pengguna IAM.

Kasus 2: Gunakan titik akhir VPC untuk terhubung ke Systems Manager

Jika Anda menggunakan titik akhir VPC untuk terhubung ke Systems Manager, kebijakan titik akhir VPC Anda untuk S3 harus mengizinkan akses ke Quick Setup kebijakan tambalan ember S3.

Untuk informasi tentang menambahkan izin ke kebijakan titik akhir VPC untuk S3, lihat Mengontrol akses dari titik akhir VPC dengan kebijakan bucket di Panduan Pengguna Amazon S3.

Izin kebijakan untuk Quick Setup Bucket S3

Anda dapat memberikan akses wildcard ke semua aws-quicksetup-patchpolicy bucket atau hanya bucket khusus yang dibuat untuk organisasi atau akun Anda. Untuk memberikan izin yang diperlukan untuk dua kasus yang dijelaskan di bawah ini, gunakan salah satu format.

All patch policy buckets
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessToAllPatchPolicyRelatedBuckets",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-*"
    }
  ]
}
Specific patch policy bucket
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessToMyPatchPolicyRelatedBucket",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id"Footnote callout 1 to explain a line in a JSON policy
    }
  ]
}

1 Setelah konfigurasi kebijakan tambalan dibuat, Anda dapat menemukan nama lengkap bucket Anda di konsol S3. Misalnya: aws-quicksetup-patchpolicy-123456789012-abcde

Baseline patch acak IDs dalam operasi kebijakan tambalan

Operasi patching untuk kebijakan patch menggunakan BaselineOverride parameter dalam dokumen AWS-RunPatchBaseline SSM Command.

Saat Anda menggunakan AWS-RunPatchBaseline untuk menambal di luar kebijakan tambalan, Anda dapat menggunakan BaselineOverride untuk menentukan daftar garis dasar tambalan yang akan digunakan selama operasi yang berbeda dari default yang ditentukan. Anda membuat daftar ini dalam file bernama baseline_overrides.json dan menambahkannya secara manual ke bucket Amazon S3 yang Anda miliki, seperti yang dijelaskan di. Menggunakan BaselineOverride parameter

Namun, untuk menambal operasi berdasarkan kebijakan tambalan, Systems Manager secara otomatis membuat bucket S3 dan menambahkan baseline_overrides.json file ke dalamnya. Kemudian, setiap saat Quick Setup menjalankan operasi penambalan (menggunakan Run Command alat, sistem menghasilkan ID acak untuk setiap baseline patch. ID ini berbeda untuk setiap operasi patching kebijakan patch, dan baseline patch yang diwakilinya tidak disimpan atau dapat diakses oleh Anda di akun Anda.

Akibatnya, Anda tidak akan melihat ID dari baseline patch yang dipilih dalam konfigurasi Anda dalam menambal log. Ini berlaku untuk baseline patch AWS terkelola dan baseline patch kustom yang mungkin telah Anda pilih. ID dasar yang dilaporkan dalam log adalah ID yang dihasilkan untuk operasi penambalan tertentu.

Selain itu, jika Anda mencoba melihat detail di Patch Manager tentang baseline patch yang dihasilkan dengan ID acak, sistem melaporkan bahwa baseline patch tidak ada. Ini adalah perilaku yang diharapkan dan dapat diabaikan.

Membuat kebijakan tambalan

Untuk membuat kebijakan tambalan, lakukan tugas berikut di konsol Systems Manager.

Untuk membuat kebijakan tambalan dengan Quick Setup

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

    Jika Anda menyiapkan penambalan untuk organisasi, pastikan Anda masuk ke akun manajemen untuk organisasi tersebut. Anda tidak dapat menyiapkan kebijakan menggunakan akun administrator yang didelegasikan atau akun anggota.

  2. Di panel navigasi, pilih Quick Setup.

  3. Pada kartu Patch Manager, pilih Buat.

    Tip

    Jika Anda sudah memiliki satu atau beberapa konfigurasi di akun Anda, pertama-tama pilih tab Perpustakaan atau tombol Buat di bagian Konfigurasi untuk melihat kartu.

  4. Untuk nama Konfigurasi, masukkan nama untuk membantu mengidentifikasi kebijakan tambalan.

  5. Di bagian Pemindaian dan instalasi, di bawah operasi Patch, pilih apakah kebijakan tambalan akan Memindai target yang ditentukan atau Pindai dan instal tambalan pada target yang ditentukan.

  6. Di bawah Jadwal pemindaian, pilih Gunakan default yang disarankan atau Jadwal pemindaian khusus. Jadwal pemindaian default akan memindai target Anda setiap hari pada pukul 1:00 UTC.

    • Jika Anda memilih Jadwal pemindaian khusus, pilih Frekuensi pemindaian.

    • Jika Anda memilih Harian, masukkan waktu, di UTC, yang ingin Anda pindai target Anda.

    • Jika Anda memilih Ekspresi CRON Kustom, masukkan jadwal sebagai ekspresi CRON. Untuk informasi selengkapnya tentang memformat ekspresi CRON untuk Systems Manager, lihat. Referensi: Ekspresi cron dan rate untuk Systems Manager

      Juga, pilih Tunggu untuk memindai target hingga interval CRON pertama. Secara default, Patch Manager segera memindai node saat mereka menjadi target.

  7. Jika Anda memilih Pindai dan menginstal, pilih jadwal Instalasi yang akan digunakan saat menginstal tambalan ke target yang ditentukan. Jika Anda memilih Gunakan default yang direkomendasikan, Patch Manager akan menginstal tambalan mingguan pada pukul 2:00 UTC pada hari Minggu.

    • Jika Anda memilih Jadwal pemasangan kustom, pilih Frekuensi Instalasi.

    • Jika Anda memilih Harian, masukkan waktu, di UTC, yang ingin Anda instal pembaruan pada target Anda.

    • Jika Anda memilih ekspresi CRON Kustom, masukkan jadwal sebagai ekspresi CRON. Untuk informasi selengkapnya tentang memformat ekspresi CRON untuk Systems Manager, lihat. Referensi: Ekspresi cron dan rate untuk Systems Manager

      Juga, hapus Tunggu untuk menginstal pembaruan hingga interval CRON pertama untuk segera menginstal pembaruan pada node saat menjadi target. Secara default, Patch Manager menunggu hingga interval CRON pertama untuk menginstal pembaruan.

    • Pilih Reboot jika diperlukan untuk me-reboot node setelah instalasi patch. Reboot setelah instalasi dianjurkan tetapi dapat menyebabkan masalah ketersediaan.

  8. Di bagian dasar Patch, pilih garis dasar patch yang akan digunakan saat memindai dan memperbarui target Anda.

    Secara default, Patch Manager menggunakan baseline patch yang telah ditentukan. Untuk informasi selengkapnya, lihat Garis dasar yang telah ditentukan.

    Jika Anda memilih Custom patch baseline, ubah baseline patch yang dipilih untuk sistem operasi yang Anda tidak ingin menggunakan baseline patch yang telah ditentukan. AWS

    catatan

    Jika Anda menggunakan titik akhir VPC untuk terhubung ke Systems Manager, pastikan kebijakan titik akhir VPC Anda untuk S3 memungkinkan akses ke bucket S3 ini. Untuk informasi selengkapnya, lihat Izin untuk bucket S3 kebijakan patch.

    penting

    Jika Anda menggunakan konfigurasi kebijakan tambalan di Quick Setup, pembaruan yang Anda buat ke baseline tambalan khusus disinkronkan dengan Quick Setup sekali dalam satu jam.

    Jika baseline patch kustom yang direferensikan dalam kebijakan tambalan dihapus, spanduk akan ditampilkan di Quick Setup Halaman detail konfigurasi untuk kebijakan tambalan Anda. Spanduk memberi tahu Anda bahwa kebijakan tambalan mereferensikan baseline tambalan yang tidak ada lagi, dan operasi penambalan berikutnya akan gagal. Dalam hal ini, kembali ke Quick Setup Halaman konfigurasi, pilih Patch Manager konfigurasi, dan pilih Tindakan, Edit konfigurasi. Nama dasar patch yang dihapus disorot, dan Anda harus memilih baseline patch baru untuk sistem operasi yang terpengaruh.

  9. (Opsional) Di bagian penyimpanan log Patching, pilih Tulis output ke bucket S3 untuk menyimpan log operasi penambalan di bucket Amazon S3.

    catatan

    Jika Anda menyiapkan kebijakan tambalan untuk organisasi, akun manajemen untuk organisasi Anda harus memiliki setidaknya izin hanya-baca untuk bucket ini. Semua unit organisasi yang termasuk dalam kebijakan harus memiliki akses tulis ke bucket. Untuk informasi tentang pemberian akses bucket ke akun yang berbeda, lihat Contoh 2: Pemilik bucket yang memberikan izin bucket lintas akun di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  10. Pilih Browse S3 untuk memilih bucket tempat Anda ingin menyimpan keluaran log tambalan. Akun manajemen harus memiliki akses baca ke bucket ini. Semua akun dan target non-manajemen yang dikonfigurasi di bagian Target harus memiliki akses tulis ke bucket S3 yang disediakan untuk pencatatan.

  11. Di bagian Target, pilih salah satu dari berikut ini untuk mengidentifikasi akun dan Wilayah untuk operasi kebijakan tambalan ini.

    catatan

    Jika Anda bekerja dalam satu akun, opsi untuk bekerja dengan organisasi dan unit organisasi (OUs) tidak tersedia. Anda dapat memilih apakah akan menerapkan konfigurasi ini ke semua Wilayah AWS di akun Anda atau hanya Wilayah yang Anda pilih.

    Jika sebelumnya Anda menetapkan Wilayah Beranda untuk akun Anda dan belum melakukan onboard ke akun baru Quick Setup pengalaman konsol, Anda tidak dapat mengecualikan Wilayah tersebut dari konfigurasi Target.

    • Seluruh organisasi — Semua akun dan Wilayah di organisasi Anda.

    • Kustom - Hanya OUs dan Wilayah yang Anda tentukan.

      • Di OUs bagian Target, pilih OUs tempat Anda ingin mengatur kebijakan tambalan.

      • Di bagian Wilayah Target, pilih Wilayah tempat Anda ingin menerapkan kebijakan tambalan.

    • Akun saat ini — Hanya Wilayah yang Anda tentukan di akun yang saat ini Anda masuki yang ditargetkan. Pilih salah satu cara berikut:

      • Wilayah Saat Ini — Hanya node terkelola di Wilayah yang dipilih di konsol yang ditargetkan.

      • Pilih Wilayah — Pilih masing-masing Wilayah untuk menerapkan kebijakan tambalan.

  12. Untuk Pilih bagaimana Anda ingin menargetkan instance, pilih salah satu dari berikut ini untuk mengidentifikasi node yang akan ditambal:

    • Semua node terkelola - Semua node terkelola di terpilih OUs dan Wilayah.

    • Tentukan grup sumber daya — Pilih nama grup sumber daya dari daftar untuk menargetkan sumber daya terkait.

      catatan

      Saat ini, memilih grup sumber daya hanya didukung untuk konfigurasi akun tunggal. Untuk menambal sumber daya di beberapa akun, pilih opsi penargetan yang berbeda.

    • Tentukan tag node — Hanya node yang ditandai dengan pasangan nilai kunci yang Anda tentukan yang ditambal di semua akun dan Wilayah yang telah Anda targetkan.

    • Manual — Pilih node terkelola dari semua akun dan Wilayah yang ditentukan secara manual dari daftar.

      catatan

      Opsi ini saat ini hanya mendukung EC2 instans Amazon.

  13. Di bagian Kontrol tarif, lakukan hal berikut:

    • Untuk Konkurensi, masukkan sejumlah atau persentase node untuk menjalankan kebijakan tambalan secara bersamaan.

    • Untuk ambang kesalahan, masukkan jumlah atau persentase node yang dapat mengalami kesalahan sebelum kebijakan patch gagal.

  14. (Opsional) Pilih kotak centang Tambahkan kebijakan IAM yang diperlukan ke profil instans yang ada yang dilampirkan ke instance Anda.

    Pilihan ini menerapkan kebijakan IAM yang dibuat oleh ini Quick Setup konfigurasi ke node yang sudah memiliki profil instance terpasang (EC2 instance) atau peran layanan terpasang (node yang diaktifkan hibrida). Kami merekomendasikan pilihan ini ketika node terkelola Anda sudah memiliki profil instans atau peran layanan yang dilampirkan, tetapi tidak berisi semua izin yang diperlukan untuk bekerja dengan Systems Manager.

    Pilihan Anda di sini diterapkan ke node terkelola yang dibuat nanti di akun dan Wilayah tempat konfigurasi kebijakan tambalan ini berlaku.

    penting

    Jika Anda tidak memilih kotak centang ini tetapi ingin Quick Setup untuk menambal node terkelola Anda menggunakan kebijakan tambalan ini, Anda harus melakukan hal berikut:

    Tambahkan izin ke profil instans IAM atau peran layanan IAM Anda untuk mengakses bucket S3 yang dibuat untuk kebijakan tambalan Anda

    Tandai profil instans IAM atau peran layanan IAM Anda dengan pasangan nilai kunci tertentu.

    Untuk informasi, lihat Kasus 1: Gunakan profil instans atau peran layanan Anda sendiri dengan node terkelola, bukan yang disediakan oleh Quick Setup.

  15. Pilih Buat.

    Untuk meninjau status patching setelah kebijakan tambalan dibuat, Anda dapat mengakses konfigurasi dari Quick Setuphalaman.