Creazione di una linea di base di patch personalizzata per macOS

Per creare una base di patch personalizzata per macOS nodi gestiti

1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

2. Nel riquadro di navigazione, scegli Patch Manager.

3. Scegli la scheda Patch di base e quindi Crea patch di base.

   oppure

   Se stai accedendo Patch Manager per la prima volta nella versione corrente Regione AWS, scegli Inizia con una panoramica, scegli la scheda Patch baseline, quindi scegli Crea patch baseline.

4. Nel campo Nome inserisci il nome della nuova patch di base, ad esempio MymacOSPatchBaseline.

5. (Facoltativo) Per Descrizione, inserisci una descrizione per questa patch di base.

6. Per Sistema operativo, scegli macOS.

7. Se desideri iniziare a utilizzare questa patch di base come predefinita per macOS non appena la crei, seleziona la casella accanto a Imposta questa patch di base come linea di base della patch predefinita per macOS istanze.

   Nota

   Questa opzione è disponibile solo se hai effettuato l'accesso per la prima volta Patch Manager prima del rilascio delle politiche sulle patch il 22 dicembre 2022.

   Per informazioni sull'impostazione di una patch di base esistente come predefinita, consulta Impostare una base di patch esistente come predefinita.

8. Nella sezione Regole di approvazione per sistema operativo utilizza i campi per creare una o più regole di approvazione automatica.

   • Prodotti: la versione del sistema operativo a cui si applica la regola di approvazione, ad esempio Mojave10.14.1 o Catalina10.15.1. L'opzione predefinita è All.

     Nota

     Il sistema di gestione dei pacchetti software open source Homebrew ha interrotto il supporto per macOS 10.14.x (Mojave) e 10.15.x (Catalina). Di conseguenza, le operazioni di applicazione patch su queste versioni non sono attualmente supportate.

   • Classificazione: il gestore di pacchetti o i gestori di pacchetti a cui si desidera applicare i pacchetti durante il processo di applicazione delle patch. Puoi scegliere tra le seguenti opzioni:

     • softwareupdate

     • Installer (Programma di installazione)

     • Brew

     • Brew cask

     L'opzione predefinita è All.

   • (Facoltativo) Report di conformità: il livello di gravità da assegnare alle patch approvate dalla linea di base, ad esempio Critical o High.

     Nota

     Se specifichi un livello di report di conformità e lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

   • Includi aggiornamenti non relativi alla sicurezza: seleziona la casella per installare le patch del sistema operativo non relative alla sicurezza disponibili nel repository di origine, oltre a quelle relative alla sicurezza.

   Per ulteriori informazioni sulle operazioni con le regole di approvazione in una patch di base personalizzata, consulta Linee di base personalizzate.

9. Per approvare esplicitamente qualsiasi patch oltre a quelle che soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

   • In Patch approvate, inserisci un elenco separato da virgole delle patch che desideri approvare.

     Nota

     Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per elenchi di patch approvate e rifiutate.

   • (Facoltativo) In Livello di conformità patch approvate, assegna un livello di conformità alle patch dell'elenco.

   • Se le patch approvate specificate non sono correlate alla sicurezza, seleziona la casella di controllo Includi aggiornamenti non di sicurezza per installare queste patch sul macOS anche il sistema operativo.

10. Per rifiutare esplicitamente qualsiasi patch oltre che comunque soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

    • In Patch rifiutate, inserisci un elenco separato da virgole delle patch che desideri rifiutare.

      Nota

      Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per elenchi di patch approvate e rifiutate.

    • Per l'azione Rejected patches, seleziona l'azione per Patch Manager per eseguire le patch incluse nell'elenco delle patch rifiutate.

      • Consenti come dipendenza: un pacchetto dell'elenco Patch rifiutate viene installato solo se è incluso automaticamente in un altro pacchetto. È considerata conforme alla linea di base delle patch e il suo stato è riportato come. InstalledOther Si tratta dell'operazione predefinita se non viene specificata alcuna opzione.

      • Blocco: i pacchetti nell'elenco delle patch rifiutate e i pacchetti che li includono come dipendenze non vengono installati da Patch Manager in qualsiasi circostanza. Se un pacchetto è stato installato prima di essere aggiunto all'elenco delle patch rifiutate o è installato al di fuori di Patch Manager in seguito, viene considerato non conforme alla linea di base della patch e il suo stato viene riportato come. InstalledRejected

11. (Facoltativo) In Gestisci tag, applica una o più coppie valore-nome di chiave di tag alla patch di base.

    I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare tag a una base di patch per identificare il livello di gravità delle patch che specifica, il gestore di pacchetti a cui si applica e il tipo di ambiente. In questo caso è possibile specificare tag simili alle coppie valore-nome di chiave seguenti:

    • Key=PatchSeverity,Value=Critical

    • Key=PackageManager,Value=softwareupdate

    • Key=Environment,Value=Production

12. Scegli Crea una base di patch.