• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup
<a name="quick-setup-patch-manager"></a>

DenganQuick Setup, alat di AWS Systems Manager, Anda dapat membuat kebijakan tambalan yang didukung olehPatch Manager. Kebijakan tambalan menentukan jadwal dan garis dasar yang akan digunakan saat menambal instans Amazon Elastic Compute Cloud (Amazon EC2) dan node terkelola lainnya secara otomatis. Dengan menggunakan konfigurasi kebijakan tambalan tunggal, Anda dapat menentukan penambalan untuk semua akun dalam beberapa akun Wilayah AWS di organisasi Anda, hanya untuk akun dan Wilayah yang Anda pilih, atau untuk satu pasangan Account-region. Untuk informasi selengkapnya tentang kebijakan tambalan, lihat[Konfigurasi kebijakan tambalan di Quick Setup](patch-manager-policies.md).

**Prasyarat**  
Untuk menentukan kebijakan tambalan untuk node yang menggunakanQuick Setup, node harus berupa *node terkelola*. Untuk informasi selengkapnya tentang mengelola node Anda, lihat[Menyiapkan konsol terpadu Systems Manager untuk organisasi](systems-manager-setting-up-organizations.md).

**penting**  
**Metode pemindaian kepatuhan patch** — Systems Manager mendukung beberapa metode untuk memindai node terkelola untuk kepatuhan patch. Jika Anda menerapkan lebih dari satu metode ini sekaligus, informasi kepatuhan patch yang Anda lihat selalu merupakan hasil dari pemindaian terbaru. Hasil dari pemindaian sebelumnya ditimpa. Jika metode pemindaian menggunakan baseline patch yang berbeda, dengan aturan persetujuan yang berbeda, informasi kepatuhan patch dapat berubah secara tak terduga. Untuk informasi selengkapnya, lihat [Mengidentifikasi eksekusi yang membuat data kepatuhan patch](patch-manager-compliance-data-overwrites.md).  
**Status kepatuhan asosiasi dan kebijakan tambalan** — Status patching untuk node terkelola yang berada di bawah kebijakan Quick Setup tambalan cocok dengan status eksekusi State Manager asosiasi untuk node tersebut. Jika status eksekusi asosiasi adalah`Compliant`, status patching untuk node terkelola juga ditandai`Compliant`. Jika status eksekusi asosiasi adalah`Non-Compliant`, status patching untuk node terkelola juga ditandai`Non-Compliant`. 

## Wilayah yang Didukung untuk konfigurasi kebijakan tambalan
<a name="patch-policies-supported-regions"></a>

Konfigurasi kebijakan tambalan di Quick Setup saat ini didukung di Wilayah berikut:
+ AS Timur (Ohio) (us-east-2)
+ AS Timur (Virginia Utara) (us-east-1)
+ AS Barat (California Utara) (us-west-1)
+ AS Barat (Oregon) (us-west-2)
+ Asia Pacific (Mumbai) (ap-south-1)
+ Asia Pacific (Seoul) (ap-northeast-2)
+ Asia Pasifik (Singapura) (ap-southeast-1)
+ Asia Pacific (Sydney) (ap-southeast-2)
+ Asia Pacific (Tokyo) (ap-northeast-1)
+ Kanada (Pusat) (ca-central-1)
+ Eropa (Frankfurt) (eu-central-1)
+ Eropa (Irlandia) (eu-west-1)
+ Eropa (London) (eu-west-2)
+ Eropa (Paris) (eu-west-3)
+ Eropa (Stockholm) (eu-north-1)
+ Amerika Selatan (Sao Paulo) (sa-east-1)

## Izin untuk bucket S3 kebijakan patch
<a name="patch-policy-s3-bucket-permissions"></a>

Saat Anda membuat kebijakan tambalan, Quick Setup buat bucket Amazon S3 yang berisi file bernama. `baseline_overrides.json` File ini menyimpan informasi tentang garis dasar tambalan yang Anda tentukan untuk kebijakan tambalan Anda.

Bucket S3 dinamai dalam format`aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id`. 

Misalnya: `aws-quicksetup-patchpolicy-123456789012-abcde`

Jika Anda membuat kebijakan tambalan untuk organisasi, bucket akan dibuat di akun manajemen organisasi Anda. 

Ada dua kasus penggunaan ketika Anda harus memberikan izin kepada AWS sumber daya lain untuk mengakses kebijakan bucket S3 menggunakan AWS Identity and Access Management (IAM) ini:
+ [Kasus 1: Gunakan profil instans atau peran layanan Anda sendiri dengan node terkelola, bukan yang disediakan oleh Quick Setup](#patch-policy-instance-profile-service-role)
+ [Kasus 2: Gunakan titik akhir VPC untuk terhubung ke Systems Manager](#patch-policy-vpc)

Kebijakan izin yang Anda perlukan dalam kedua kasus terletak di bagian di bawah ini,[Izin kebijakan untuk bucket Quick Setup S3](#patch-policy-bucket-permissions).

### Kasus 1: Gunakan profil instans atau peran layanan Anda sendiri dengan node terkelola, bukan yang disediakan oleh Quick Setup
<a name="patch-policy-instance-profile-service-role"></a>

Konfigurasi kebijakan tambalan menyertakan opsi untuk **Menambahkan kebijakan IAM yang diperlukan ke profil instans yang ada yang dilampirkan ke instance Anda**. 

Jika Anda tidak memilih opsi ini tetapi Quick Setup ingin menambal node terkelola menggunakan kebijakan tambalan ini, Anda harus memastikan bahwa berikut ini diterapkan:
+ Kebijakan terkelola IAM `AmazonSSMManagedInstanceCore` harus dilampirkan ke [profil instans IAM](setup-instance-permissions.md) atau [peran layanan IAM](hybrid-multicloud-service-role.md) yang digunakan untuk memberikan izin Systems Manager ke node terkelola Anda.
+ Anda harus menambahkan izin untuk mengakses keranjang kebijakan tambalan sebagai kebijakan inline ke profil instans IAM atau peran layanan IAM. Anda dapat memberikan akses wildcard ke semua `aws-quicksetup-patchpolicy` bucket atau hanya bucket khusus yang dibuat untuk organisasi atau akun Anda, seperti yang ditunjukkan pada contoh kode sebelumnya.
+ Anda harus menandai profil instans IAM atau peran layanan IAM Anda dengan pasangan nilai kunci berikut.

  `Key: QSConfigId-quick-setup-configuration-id, Value: quick-setup-configuration-id`

  *quick-setup-configuration-id*mewakili nilai parameter yang diterapkan ke AWS CloudFormation tumpukan yang digunakan dalam membuat konfigurasi kebijakan tambalan Anda. Untuk mengambil ID ini, lakukan hal berikut:

  1. Buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

  1. Pilih nama tumpukan yang digunakan untuk membuat kebijakan tambalan Anda. Namanya dalam format seperti`StackSet-AWS-QuickSetup-PatchPolicy-LA-q4bkg-52cd2f06-d0f9-499e-9818-d887cEXAMPLE`.

  1. Pilih tab **Parameter**.

  1. Dalam daftar **Parameter**, di kolom **Kunci**, cari **QSConfigurationID** kunci. Di kolom **Nilai** untuk barisnya, cari ID konfigurasi, seperti`abcde`.

     Dalam contoh ini, agar tag diterapkan ke profil instans atau peran layanan Anda, kuncinya adalah`QSConfigId-abcde`, dan nilainya adalah`abcde`.

Untuk informasi tentang menambahkan tag ke peran IAM, lihat [Menandai peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html#id_tags_roles_procs-console) dan [Mengelola tag pada profil instans (AWS CLI atau AWS API) di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_instance-profiles.html#id_tags_instance-profile_procs-cli-api) *IAM*.

### Kasus 2: Gunakan titik akhir VPC untuk terhubung ke Systems Manager
<a name="patch-policy-vpc"></a>

Jika Anda menggunakan titik akhir VPC untuk terhubung ke Systems Manager, kebijakan titik akhir VPC Anda untuk S3 harus mengizinkan akses ke bucket S3 kebijakan patch Anda. Quick Setup

*Untuk informasi tentang menambahkan izin ke kebijakan titik akhir VPC untuk S3, lihat [Mengontrol akses dari titik akhir VPC dengan kebijakan bucket di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html) Amazon S3.*

### Izin kebijakan untuk bucket Quick Setup S3
<a name="patch-policy-bucket-permissions"></a>

Anda dapat memberikan akses wildcard ke semua `aws-quicksetup-patchpolicy` bucket atau hanya bucket khusus yang dibuat untuk organisasi atau akun Anda. Untuk memberikan izin yang diperlukan untuk dua kasus yang dijelaskan di bawah ini, gunakan salah satu format.

------
#### [ All patch policy buckets ]

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AccessToAllPatchPolicyRelatedBuckets",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-*"
    }
  ]
}
```

------

------
#### [ Specific patch policy bucket ]

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AccessToMyPatchPolicyRelatedBucket",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-111122223333-quick-setup-configuration-id"
    }
  ]
}
```

------

**catatan**  
Setelah konfigurasi kebijakan tambalan dibuat, Anda dapat menemukan nama lengkap bucket Anda di konsol S3. Misalnya: `aws-quicksetup-patchpolicy-123456789012-abcde`

------

## Baseline patch acak IDs dalam operasi kebijakan tambalan
<a name="qs-patch-baselines-and-compliance"></a>

Operasi patching untuk kebijakan patch menggunakan `BaselineOverride` parameter dalam dokumen `AWS-RunPatchBaseline` SSM Command. 

Saat Anda menggunakan `AWS-RunPatchBaseline` untuk menambal *di luar* kebijakan tambalan, Anda dapat menggunakan `BaselineOverride` untuk menentukan daftar garis dasar tambalan yang akan digunakan selama operasi yang berbeda dari default yang ditentukan. Anda membuat daftar ini dalam file bernama `baseline_overrides.json` dan menambahkannya secara manual ke bucket Amazon S3 yang Anda miliki, seperti yang dijelaskan di. [Menggunakan BaselineOverride parameter](patch-manager-baselineoverride-parameter.md)

Namun, untuk menambal operasi berdasarkan kebijakan tambalan, Systems Manager secara otomatis membuat bucket S3 dan menambahkan `baseline_overrides.json` file ke dalamnya. Kemudian, setiap kali Quick Setup menjalankan operasi patching (menggunakan Run Command alat, sistem menghasilkan ID acak untuk setiap baseline patch. ID ini berbeda untuk setiap operasi patching kebijakan patch, dan baseline patch yang diwakilinya tidak disimpan atau dapat diakses oleh Anda di akun Anda. 

Akibatnya, Anda tidak akan melihat ID dari baseline patch yang dipilih dalam konfigurasi Anda dalam menambal log. Ini berlaku untuk baseline patch AWS terkelola dan baseline patch kustom yang mungkin telah Anda pilih. ID dasar yang dilaporkan dalam log adalah ID yang dihasilkan untuk operasi penambalan tertentu.

Selain itu, jika Anda mencoba melihat detail Patch Manager tentang baseline patch yang dihasilkan dengan ID acak, sistem melaporkan bahwa baseline patch tidak ada. Ini adalah perilaku yang diharapkan dan dapat diabaikan.

## Membuat kebijakan tambalan
<a name="create-patch-policy"></a>

Untuk membuat kebijakan tambalan, lakukan tugas berikut di konsol Systems Manager.

**Untuk membuat kebijakan tambalan dengan Quick Setup**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   Jika Anda menyiapkan penambalan untuk organisasi, pastikan Anda masuk ke akun manajemen untuk organisasi tersebut. Anda tidak dapat menyiapkan kebijakan menggunakan akun administrator yang didelegasikan atau akun anggota.

1. Di panel navigasi, pilih **Quick Setup**.

1. Pada kartu **Patch Manager**, pilih **Buat**.
**Tip**  
Jika Anda sudah memiliki satu atau beberapa konfigurasi di akun Anda, pertama-tama pilih tab **Perpustakaan** atau tombol **Buat** di bagian **Konfigurasi** untuk melihat kartu.

1. Untuk **nama Konfigurasi**, masukkan nama untuk membantu mengidentifikasi kebijakan tambalan.

1. Di bagian **Pemindaian dan instalasi**, di bawah **operasi Patch**, pilih apakah kebijakan tambalan akan **Memindai** target yang ditentukan atau **Pindai dan instal** tambalan pada target yang ditentukan.

1. Di bawah **Jadwal pemindaian**, pilih **Gunakan default yang disarankan** atau Jadwal pemindaian **khusus**. Jadwal pemindaian default akan memindai target Anda setiap hari pada pukul 1:00 UTC.
   + Jika Anda memilih **Jadwal pemindaian khusus**, pilih **Frekuensi pemindaian**.
   + Jika Anda memilih **Harian**, masukkan waktu, di UTC, yang ingin Anda pindai target Anda. 
   + Jika Anda memilih Ekspresi **CRON Kustom, masukkan jadwal sebagai ekspresi** **CRON**. Untuk informasi selengkapnya tentang memformat ekspresi CRON untuk Systems Manager, lihat. [Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md)

     Juga, pilih **Tunggu untuk memindai target hingga interval CRON pertama**. Secara default, Patch Manager segera memindai node saat mereka menjadi target.

1. Jika Anda memilih **Pindai dan menginstal**, pilih **jadwal Instalasi** yang akan digunakan saat menginstal tambalan ke target yang ditentukan. Jika Anda memilih **Gunakan default yang direkomendasikan**, Patch Manager akan menginstal patch mingguan pada pukul 2:00 UTC pada hari Minggu.
   + Jika Anda memilih **Jadwal pemasangan kustom**, pilih **Frekuensi Instalasi**.
   + Jika Anda memilih **Harian**, masukkan waktu, di UTC, yang ingin Anda instal pembaruan pada target Anda.
   + Jika Anda memilih **ekspresi CRON Kustom**, masukkan jadwal sebagai ekspresi **CRON**. Untuk informasi selengkapnya tentang memformat ekspresi CRON untuk Systems Manager, lihat. [Referensi: Ekspresi cron dan rate untuk Systems Manager](reference-cron-and-rate-expressions.md)

     Juga, hapus **Tunggu untuk menginstal pembaruan hingga interval CRON pertama** untuk segera menginstal pembaruan pada node saat menjadi target. Secara default, Patch Manager menunggu hingga interval CRON pertama untuk menginstal pembaruan.
   + Pilih **Reboot jika diperlukan** untuk me-reboot node setelah instalasi patch. Reboot setelah instalasi dianjurkan tetapi dapat menyebabkan masalah ketersediaan.

1. Di bagian **dasar Patch**, pilih garis dasar patch yang akan digunakan saat memindai dan memperbarui target Anda. 

   Secara default, Patch Manager menggunakan baseline patch yang telah ditentukan. Untuk informasi selengkapnya, lihat [Garis dasar yang telah ditentukan](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-pre-defined).

   Jika Anda memilih **Custom patch baseline**, ubah baseline patch yang dipilih untuk sistem operasi yang Anda tidak ingin menggunakan baseline patch yang telah ditentukan. AWS 
**catatan**  
Jika Anda menggunakan titik akhir VPC untuk terhubung ke Systems Manager, pastikan kebijakan titik akhir VPC Anda untuk S3 memungkinkan akses ke bucket S3 ini. Untuk informasi selengkapnya, lihat [Izin untuk bucket S3 kebijakan patch](#patch-policy-s3-bucket-permissions). 
**penting**  
Jika Anda menggunakan [konfigurasi kebijakan tambalan](patch-manager-policies.md)Quick Setup, pembaruan yang Anda buat ke baseline patch kustom disinkronkan dengan Quick Setup satu jam sekali.   
Jika baseline patch kustom yang direferensikan dalam kebijakan tambalan dihapus, spanduk akan ditampilkan di halaman **Detail Quick Setup konfigurasi** untuk kebijakan tambalan Anda. Spanduk memberi tahu Anda bahwa kebijakan tambalan mereferensikan baseline tambalan yang tidak ada lagi, dan operasi penambalan berikutnya akan gagal. Dalam hal ini, kembali ke halaman Quick Setup **Konfigurasi**, pilih Patch Manager konfigurasi, dan pilih **Tindakan**, **Edit konfigurasi**. Nama dasar patch yang dihapus disorot, dan Anda harus memilih baseline patch baru untuk sistem operasi yang terpengaruh.

1. (Opsional) Di bagian **penyimpanan log Patching**, pilih **Tulis output ke bucket S3** untuk menyimpan log operasi penambalan di bucket Amazon S3. 
**catatan**  
Jika Anda menyiapkan kebijakan tambalan untuk organisasi, akun manajemen untuk organisasi Anda harus memiliki setidaknya izin hanya-baca untuk bucket ini. Semua unit organisasi yang termasuk dalam kebijakan harus memiliki akses tulis ke bucket. Untuk informasi tentang pemberian akses bucket ke akun yang berbeda, lihat [Contoh 2: Pemilik bucket yang memberikan izin bucket lintas akun di Panduan Pengguna Layanan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) *Penyimpanan Sederhana Amazon*.

1. Pilih **Browse S3** untuk memilih bucket tempat Anda ingin menyimpan keluaran log tambalan. Akun manajemen harus memiliki akses baca ke bucket ini. Semua akun dan target non-manajemen yang dikonfigurasi di bagian **Target** harus memiliki akses tulis ke bucket S3 yang disediakan untuk pencatatan.

1. Di bagian **Target**, pilih salah satu dari berikut ini untuk mengidentifikasi akun dan Wilayah untuk operasi kebijakan tambalan ini.
**catatan**  
Jika Anda bekerja dalam satu akun, opsi untuk bekerja dengan organisasi dan unit organisasi (OUs) tidak tersedia. Anda dapat memilih apakah akan menerapkan konfigurasi ini ke semua Wilayah AWS di akun Anda atau hanya Wilayah yang Anda pilih.  
Jika sebelumnya Anda menetapkan Wilayah Beranda untuk akun Anda dan belum melakukan onboard ke pengalaman Quick Setup konsol baru, Anda tidak dapat mengecualikan Wilayah tersebut dari konfigurasi **Target**.
   + **Seluruh organisasi** — Semua akun dan Wilayah di organisasi Anda.
   + **Kustom** - Hanya OUs dan Wilayah yang Anda tentukan.
     + Di OUs bagian **Target**, pilih OUs tempat Anda ingin mengatur kebijakan tambalan. 
     + Di bagian **Wilayah Target**, pilih Wilayah tempat Anda ingin menerapkan kebijakan tambalan. 
   + **Akun saat ini** — Hanya Wilayah yang Anda tentukan di akun yang saat ini Anda masuki yang ditargetkan. Pilih salah satu cara berikut:
     + **Wilayah Saat Ini** — Hanya node terkelola di Wilayah yang dipilih di konsol yang ditargetkan. 
     + **Pilih Wilayah** — Pilih masing-masing Wilayah untuk menerapkan kebijakan tambalan.

1. Untuk **Pilih bagaimana Anda ingin menargetkan instance**, pilih salah satu dari berikut ini untuk mengidentifikasi node yang akan ditambal: 
   + **Semua node terkelola** - Semua node terkelola di terpilih OUs dan Wilayah.
   + **Tentukan grup sumber daya** — Pilih nama grup sumber daya dari daftar untuk menargetkan sumber daya terkait.
**catatan**  
Saat ini, memilih grup sumber daya hanya didukung untuk konfigurasi akun tunggal. Untuk menambal sumber daya di beberapa akun, pilih opsi penargetan yang berbeda.
   + **Tentukan tag node** — Hanya node yang ditandai dengan pasangan nilai kunci yang Anda tentukan yang ditambal di semua akun dan Wilayah yang telah Anda targetkan. 
   + **Manual** — Pilih node terkelola dari semua akun dan Wilayah yang ditentukan secara manual dari daftar.
**catatan**  
Opsi ini saat ini hanya mendukung instans Amazon EC2. Anda dapat menambahkan maksimal 25 instance secara manual dalam konfigurasi kebijakan tambalan.

1. Di bagian **Kontrol tarif**, lakukan hal berikut:
   + Untuk **Konkurensi**, masukkan sejumlah atau persentase node untuk menjalankan kebijakan tambalan secara bersamaan.
   + Untuk **ambang kesalahan**, masukkan jumlah atau persentase node yang dapat mengalami kesalahan sebelum kebijakan patch gagal.

1. (Opsional) Pilih kotak centang **Tambahkan kebijakan IAM yang diperlukan ke profil instans yang ada yang dilampirkan ke instance Anda**.

   Pilihan ini menerapkan kebijakan IAM yang dibuat oleh Quick Setup konfigurasi ini ke node yang sudah memiliki profil instance terpasang (instans EC2) atau peran layanan yang dilampirkan (node yang diaktifkan hibrida). Kami merekomendasikan pilihan ini ketika node terkelola Anda sudah memiliki profil instans atau peran layanan yang dilampirkan, tetapi tidak berisi semua izin yang diperlukan untuk bekerja dengan Systems Manager.

   Pilihan Anda di sini diterapkan ke node terkelola yang dibuat nanti di akun dan Wilayah tempat konfigurasi kebijakan tambalan ini berlaku.
**penting**  
Jika Anda tidak memilih kotak centang ini tetapi Quick Setup ingin menambal node terkelola menggunakan kebijakan tambalan ini, Anda harus melakukan hal berikut:  
Tambahkan izin ke [profil instans IAM](setup-instance-permissions.md) atau [peran layanan IAM](hybrid-multicloud-service-role.md) Anda untuk mengakses bucket S3 yang dibuat untuk kebijakan tambalan Anda  
Tandai profil instans IAM atau peran layanan IAM Anda dengan pasangan nilai kunci tertentu.  
Untuk informasi, lihat [Kasus 1: Gunakan profil instans atau peran layanan Anda sendiri dengan node terkelola, bukan yang disediakan oleh Quick Setup](#patch-policy-instance-profile-service-role).

1. Pilih **Buat**.

   Untuk meninjau status penambalan setelah kebijakan tambalan dibuat, Anda dapat mengakses konfigurasi dari [https://console.aws.amazon.com/systems-manager/quick-setup](https://console.aws.amazon.com/systems-manager/quick-setup)halaman.