• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo di Kernel Live Patching su nodi gestiti Amazon Linux 2
<a name="patch-manager-kernel-live-patching"></a>

Kernel Live Patching per Amazon Linux 2 ti consente di applicare patch di vulnerabilità della sicurezza e di bug critici a un kernel Linux in esecuzione, senza riavvii o interruzioni delle applicazioni in esecuzione. Questa procedura ti permette una maggiore disponibilità di servizi e applicazioni, mantenendo al contempo la sicurezza e l'aggiornamento dell'infrastruttura. Kernel Live Patching è supportato nelle istanze Amazon EC2, nei dispositivi core AWS IoT Greengrass e nelle [macchine virtuali on-premises](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-2-virtual-machine.html) che utilizzano Amazon Linux 2.

[Per informazioni generali su questo Kernel Live Patching argomento, AL2 consulta Kernel Live Patching la *Amazon Linux 2 User Guide*.](https://docs.aws.amazon.com/linux/al2/ug/al2-live-patching.html)

Dopo aver attivato Kernel Live Patching su un nodo gestito Amazon Linux 2, è possibile usare Patch Manager, uno strumento di AWS Systems Manager, per applicare patch live del kernel al nodo gestito. L'utilizzo di Patch Manager per applicare gli aggiornamenti è un'alternativa ai flussi di lavoro yum nel nodo.

**Prima di iniziare**  
Per utilizzare Patch Manager per applicare patch live del kernel ai nodi gestiti di Amazon Linux 2, assicurati che i nodi siano basati sull'architettura e sulla versione del kernel corrette. Per informazioni, consulta [Configurazioni e prerequisiti supportati](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-prereq) nelle istanze *Guida per l'utente di Amazon EC2*.

**Topics**
+ [

## Kernel Live Patching  utilizza  Patch Manager
](#about-klp)
+ [

## Come Kernel Live Patching utilizza Patch Manager
](#how-klp-works)
+ [

# Attivazione di Kernel Live Patching tramite Run Command
](enable-klp.md)
+ [

# Applicazione delle patch live del kernel utilizzando Run Command
](install-klp.md)
+ [

# Disattivazione di Kernel Live Patching tramite Run Command
](disable-klp.md)

## Kernel Live Patching  utilizza  Patch Manager
<a name="about-klp"></a>

Aggiornamento della versione del kernel  
Non è necessario riavviare un nodo gestito dopo aver applicato un aggiornamento della patch live del kernel. Tuttavia, AWS fornisce patch live del kernel per una versione del kernel di Amazon Linux 2 per un massimo di tre mesi dopo il suo rilascio. Dopo il periodo di tre mesi, è necessario eseguire l'aggiornamento a una versione del kernel successiva per continuare a ricevere patch live del kernel. Ti consigliamo di utilizzare una finestra di manutenzione per pianificare un riavvio del nodo almeno una volta ogni tre mesi per richiedere l'aggiornamento della versione del kernel.

Disinstallazione delle patch live del kernel  
Le patch live del kernel non possono essere disinstallate utilizzando Patch Manager. È possibile invece disabilitare Kernel Live Patching, che rimuove i pacchetti RPM per le patch live del kernel applicate. Per ulteriori informazioni, consulta [Disattivazione di Kernel Live Patching tramite Run Command](disable-klp.md).

Conformità del kernel  
In alcuni casi, l'installazione di tutte le correzioni CVE dalle patch live per la versione corrente del kernel può far sì che il kernel sia stesso stato di conformità di una versione più recente. Quando ciò accade, la versione più recente viene segnalata come `Installed` e il nodo gestito restituito come `Compliant`. Tuttavia, non viene restituita l'ora di installazione per la versione più recente del kernel.

Una patch live del kernel, più CVEs  
Se una patch live del kernel si rivolge a più CVEs patch e queste CVEs hanno diversi valori di classificazione e gravità, per la patch CVEs viene riportata solo la classificazione e la gravità più elevate tra le altre. 

Nella parte restante di questa sezione viene descritto come utilizzare Patch Manager per applicare patch live del kernel ai nodi gestiti che soddisfano questi requisiti.

## Come Kernel Live Patching utilizza Patch Manager
<a name="how-klp-works"></a>

AWS rilascia due tipi di patch live del kernel per Amazon Linux 2: aggiornamenti di sicurezza e correzioni di bug. Per applicare questi tipi di patch, utilizzare un documento della baseline delle patch destinato solo alle classificazioni e alle severità elencate nella tabella seguente.


| Classificazione | Gravità | 
| --- | --- | 
| Security | Critical, Important | 
| Bugfix | All | 

È possibile creare una baseline delle patch personalizzata destinata solo a queste patch oppure utilizzare la baseline delle patch `AWS-AmazonLinux2DefaultPatchBaseline` predefinita. In altre parole, è possibile utilizzare `AWS-AmazonLinux2DefaultPatchBaseline` con i nodi gestiti Amazon Linux 2 in cui è abilitato Kernel Live Patching per applicare gli aggiornamenti live del kernel.

**Nota**  
La configurazione `AWS-AmazonLinux2DefaultPatchBaseline` specifica un periodo di attesa di 7 giorni dopo il rilascio o l'ultimo aggiornamento di una patch prima dell'installazione automatica. Se non si desidera attendere 7 giorni per l'approvazione automatica delle patch live del kernel, è possibile creare e utilizzare una baseline delle patch personalizzata. Nella baseline delle patch, è possibile specificare nessun periodo di attesa per l'approvazione automatica o specificarne uno più breve o più lungo. Per ulteriori informazioni, consulta [Utilizzo delle baseline delle patch personalizzate](patch-manager-manage-patch-baselines.md).

Ti consigliamo la seguente strategia per applicare patch ai nodi gestiti con aggiornamenti live del kernel:

1. Attiva Kernel Live Patching sui nodi gestiti Amazon Linux 2.

1. Utilizza Run Command uno strumento per eseguire un'`Scan`operazione sui tuoi nodi gestiti utilizzando la patch di base predefinita `AWS-AmazonLinux2DefaultPatchBaseline` o personalizzata che si rivolge anche solo agli `Security` aggiornamenti con gravità classificata come `Critical` e`Important`, e la gravità di. AWS Systems Manager`Bugfix` `All` 

1. Utilizza Compliance, uno strumento in AWS Systems Manager grado di verificare se viene segnalata la non conformità per l'applicazione di patch per uno qualsiasi dei nodi gestiti sottoposti a scansione. In caso affermativo, visualizza i dettagli della conformità del nodo per determinare se alcune patch live del kernel mancano dal nodo gestito.

1. Per installare patch live del kernel mancanti, utilizza Run Command con la stessa baseline delle patch specificata in precedenza, ma questa volta esegui un'operazione `Install` invece di un'operazione `Scan`.

   Poiché le patch live del kernel vengono installate senza la necessità di riavviare, è possibile scegliere l'opzione di riavvio `NoReboot` per questa operazione. 
**Nota**  
È comunque possibile riavviare il nodo gestito se necessario per altri tipi di patch installati nel nodo o se vuoi eseguire l'aggiornamento a un kernel più recente. In questi casi, scegli invece l'opzione di riavvio `RebootIfNeeded`.

1. Torna a Conformità per verificare che le patch live del kernel siano state installate.

# Attivazione di Kernel Live Patching tramite Run Command
<a name="enable-klp"></a>

Per attivare Kernel Live Patching, è possibile eseguire `yum` sui tuoi nodi gestiti o usare Run Command e un documento di Systems Manager personalizzato (documento SSM) creato dall'utente.

Per informazioni sull'attivazione di Kernel Live Patching eseguendo i comandi `yum` direttamente sul nodo gestito, vedi [AbilitazioneKernel Live Patching](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-prereq) nelle istanze *Guida per l'utente di Amazon EC2*.

**Nota**  
Quando si attiva Kernel Live Patching, se il kernel già in esecuzione sul nodo gestito è *precedente* rispetto a `kernel-4.14.165-131.185.amzn2.x86_64` (la versione minima supportata), il processo installa l'ultima versione disponibile del kernel e riavvia il nodo gestito. Se il nodo sta già eseguendo `kernel-4.14.165-131.185.amzn2.x86_64` o versione successiva, il processo non installa una versione più recente e non riavvia il nodo.

**Per attivare Kernel Live Patching tramite Run Command(console)**

1. Aprire la console AWS Systems Manager all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Nel pannello di navigazione, scegli **Run Command**.

1. Seleziona **Run command (Esegui comando)**.

1. Nell'elenco **Documento di comando**, scegliere il documento SSM personalizzato`AWS-ConfigureKernelLivePatching`.

1. Nella sezione **Parametri di comando** specifica se vuoi che i nodi gestiti vengano riavviati come parte di questa operazione.

1. Per informazioni sull'utilizzo dei controlli rimanenti in questa pagina, consulta [Esecuzione di comandi dalla console](running-commands-console.md).

1. Seleziona **Esegui**.

**Per attivare Kernel Live Patching (AWS CLI)**
+ Esegui il comando seguente sul computer locale.

------
#### [ Linux & macOS ]

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureKernelLivePatching" \
      --parameters "EnableOrDisable=Enable" \
      --targets "Key=instanceids,Values=instance-id"
  ```

------
#### [ Windows Server ]

  ```
  aws ssm send-command ^
      --document-name "AWS-ConfigureKernelLivePatching" ^
      --parameters "EnableOrDisable=Enable" ^
      --targets "Key=instanceids,Values=instance-id"
  ```

------

  Sostituisci *instance-id* con l'ID del nodo gestito Amazon Linux 2 in cui vuoi abilitare la caratteristica, come ad esempio i-02573cafcfEXAMPLE. Per disabilitare la caratteristica su più nodi gestiti puoi utilizzare uno dei seguenti formati.
  + `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
  + `--targets "Key=tag:tag-key,Values=tag-value"`

  Per informazioni sulle altre opzioni che puoi utilizzare con il comando, consulta [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) in *Riferimento ai comandi della AWS CLI*.

# Applicazione delle patch live del kernel utilizzando Run Command
<a name="install-klp"></a>

Per applicare patch live del kernel puoi eseguire comandi `yum` sui nodi gestiti o utilizzare Run Command e il documento SSM`AWS-RunPatchBaseline`. 

Per informazioni sull'applicazione delle patch live del kernel eseguendo comandi `yum` direttamente sul nodo gestito, consulta [Applicazione delle patch live del kernel](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-apply) nella *Guida per l'utente di Amazon EC2*.

**Per applicare patch live del kernel utilizzando Run Command (console)**

1. Aprire la console AWS Systems Manager all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Nel pannello di navigazione, scegli **Run Command**.

1. Seleziona **Run command (Esegui comando)**.

1. Nell'elenco **Command document (Documento comando)**, scegliere il documento SSM`AWS-RunPatchBaseline`.

1. Nella sezione **Parametri di comando** esegui una delle operazioni seguenti:
   + Se devi verificare se sono disponibili nuove patch live del kernel, per **Operazione** scegli `Scan`. Per **Opzione di riavvio**, se non vuoi che i nodi gestiti vengano riavviati dopo questa operazione, scegli `NoReboot`. Al termine dell'operazione, puoi verificare la presenza di nuove patch e lo stato di conformità in Conformità.
   + Se hai già verificato la conformità delle patch e vuoi applicare le patch live del kernel disponibili, per **Operazione** scegli `Install`. Per **Opzione di riavvio**, se non desideri che i nodi gestiti vengano riavviati dopo questa operazione, scegli `NoReboot`.

1. Per informazioni sull'utilizzo dei controlli rimanenti in questa pagina, consulta [Esecuzione di comandi dalla console](running-commands-console.md).

1. Seleziona **Esegui**.

**Per applicare patch live del kernel utilizzando Run Command (AWS CLI)**

1. Per eseguire un'operazione `Scan` prima di controllare i risultati in Conformità , esegui il comando seguente dal computer locale.

------
#### [ Linux & macOS ]

   ```
   aws ssm send-command \
       --document-name "AWS-RunPatchBaseline" \
       --targets "Key=InstanceIds,Values=instance-id" \
       --parameters '{"Operation":["Scan"],"RebootOption":["RebootIfNeeded"]}'
   ```

------
#### [ Windows Server ]

   ```
   aws ssm send-command ^
       --document-name "AWS-RunPatchBaseline" ^
       --targets "Key=InstanceIds,Values=instance-id" ^
       --parameters {\"Operation\":[\"Scan\"],\"RebootOption\":[\"RebootIfNeeded\"]}
   ```

------

   Per informazioni sulle altre opzioni che puoi utilizzare con il comando, consulta [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) in *Riferimento ai comandi della AWS CLI*.

1. Per eseguire un'operazione `Install` dopo aver verificato i risultati in Conformità , esegui il comando seguente dal computer locale.

------
#### [ Linux & macOS ]

   ```
   aws ssm send-command \
       --document-name "AWS-RunPatchBaseline" \
       --targets "Key=InstanceIds,Values=instance-id" \
       --parameters '{"Operation":["Install"],"RebootOption":["NoReboot"]}'
   ```

------
#### [ Windows Server ]

   ```
   aws ssm send-command ^
       --document-name "AWS-RunPatchBaseline" ^
       --targets "Key=InstanceIds,Values=instance-id" ^
       --parameters {\"Operation\":[\"Install\"],\"RebootOption\":[\"NoReboot\"]}
   ```

------

In entrambi i comandi precedenti, sostituisci *instance-id* con l'ID del nodo gestito Amazon Linux 2 su cui vuoi applicare le patch live del kernel, ad esempio i-02573cafcfEXAMPLE. Per disabilitare la caratteristica su più nodi gestiti puoi utilizzare uno dei seguenti formati.
+ `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
+ `--targets "Key=tag:tag-key,Values=tag-value"`

Per informazioni sulle altre opzioni che puoi utilizzare con questi comandi, consulta [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) in *Riferimento ai comandi della AWS CLI*.

# Disattivazione di Kernel Live Patching tramite Run Command
<a name="disable-klp"></a>

Per abilitare Kernel Live Patching puoi eseguire comandi `yum` sui nodi gestiti o utilizzare Run Command e un documento SSM personalizzato `AWS-ConfigureKernelLivePatching`.

**Nota**  
Se non è più necessario utilizzare Kernel Live Patching, puoi disabilitarla in qualsiasi momento. Nella maggior parte dei casi, la disattivazione della funzione non è necessaria.

Per informazioni sulla disattivazione di Kernel Live Patching eseguendo `yum` direttamente sul nodo gestito, consulta [AbilitazioneKernel Live Patching](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-enable) nella *Guida per l'utente di Amazon EC2*.

**Nota**  
Quando si disattiva Kernel Live Patching, il processo disinstalla il plugin Kernel Live Patching e quindi riavvia il nodo gestito.

**Per disattivare Kernel Live Patching tramite Run Command (console)**

1. Aprire la console AWS Systems Manager all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Nel pannello di navigazione, scegli **Run Command**.

1. Seleziona **Run command (Esegui comando)**.

1. Nell'elenco **Command document (Documento comando)**, scegliere il documento SSM `AWS-ConfigureKernelLivePatching`.

1. Nella sezione **Command parameters (Parametri di comando)** specificare i valori per i parametri necessari.

1. Per informazioni sull'utilizzo dei controlli rimanenti in questa pagina, consulta [Esecuzione di comandi dalla console](running-commands-console.md).

1. Seleziona **Esegui**.

**Per disattivare Kernel Live Patching (AWS CLI)**
+ Esegui un comando simile al seguente.

------
#### [ Linux & macOS ]

  ```
  aws ssm send-command \
      --document-name "AWS-ConfigureKernelLivePatching" \
      --targets "Key=instanceIds,Values=instance-id" \
      --parameters "EnableOrDisable=Disable"
  ```

------
#### [ Windows Server ]

  ```
  aws ssm send-command ^
      --document-name "AWS-ConfigureKernelLivePatching" ^
      --targets "Key=instanceIds,Values=instance-id" ^
      --parameters "EnableOrDisable=Disable"
  ```

------

  Sostituisci *instance-id* con l'ID del nodo gestito Amazon Linux 2 in cui vuoi disabilitare la caratteristica, ad esempio i-02573cafcfEXAMPLE. Per disabilitare la caratteristica su più nodi gestiti puoi utilizzare uno dei seguenti formati.
  + `--targets "Key=instanceids,Values=instance-id1,instance-id2"`
  + `--targets "Key=tag:tag-key,Values=tag-value"`

  Per informazioni sulle altre opzioni che puoi utilizzare con il comando, consulta [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) in *Riferimento ai comandi della AWS CLI*.