Prerequisiti di Patch Manager - AWS Systems Manager
Versione SSM AgentVersione di PythonConnettività all'origine della patchAccesso agli endpoint S3Sistemi operativi supportati per Patch Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti di Patch Manager

Assicurati di aver soddisfatto i prerequisiti richiesti prima di utilizzarePatch Manager, una funzionalità di AWS Systems Manager.

Versione SSM Agent

La Versione 2.0.834.0 o successiva SSM Agent è in esecuzione sui nodi gestiti che si desidera gestire con Patch Manager.

Nota

Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunte nuove funzionalità a Systems Manager o eseguiti aggiornamenti delle funzionalità esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare varie funzionalità e caratteristiche di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina SSM AgentRelease Notes su GitHub per ricevere notifiche sugli SSM Agent aggiornamenti.

Versione di Python

Per macOS la maggior parte dei sistemi operativi Linux (OSs), Patch Manager attualmente supporta le versioni di Python 2.6 - 3.10. I AlmaLinux, Debian ServerRaspberry Pi OS, e Ubuntu Server OSs richiedono una versione supportata di Python 3 (3.0 - 3.10).

Connettività all'origine della patch

Se i tuoi nodi gestiti non dispongono di una connessione diretta a Internet e utilizzi un Amazon Virtual Private Cloud (AmazonVPC) con un VPC endpoint, devi assicurarti che i nodi abbiano accesso agli archivi di patch di origine (repository). Nei nodi Linux, gli aggiornamenti delle patch vengono solitamente scaricati dai repository remoti configurati nel nodo. Pertanto, il nodo deve essere in grado di connettersi al repository, in modo che possa essere eseguita l'applicazione di patch. Per ulteriori informazioni, consulta Come vengono selezionate le patch di sicurezza.

CentOS eCentOS Stream: Abilita il flag EnableNonSecurity

I nodi gestiti 6 e 7 usano Yum come gestore di pacchetti. CentOS 8 e CentOS Stream i nodi vengono utilizzati DNF come gestore di pacchetti. Entrambi i gestori di pacchetti utilizzano il concetto di avviso di aggiornamento. Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici.

Tuttavia, i repo predefiniti di CentOS e CentOS Stream non sono configurati con un avviso di aggiornamento. Ciò significa che Patch Manager non è in grado di rilevare i pacchetti in un repo CentOS e CentOS Stream predefinito. Per abilitare Patch Manager all'elaborazione di pacchetti non sono contenuti in un avviso di aggiornamento, dovrai abilitare il flag EnableNonSecurity nelle regole di base di patch.

Windows Server: Garantire la connettività a Windows Update Catalog o Windows Server Update Services () WSUS

Windows Serveri nodi gestiti devono essere in grado di connettersi a Windows Update Catalog o Windows Server Update Services (WSUS). Verifica che i nodi siano connessi a Microsoft Update Catalog tramite un gateway Internet, un NAT gateway o un'NATistanza. Se lo stai utilizzandoWSUS, verifica che il nodo sia connesso al WSUS server del tuo ambiente. Per ulteriori informazioni, consulta Problema: il nodo gestito non ha accesso al catalogo di Windows Update o WSUS.

Accesso agli endpoint S3

Indipendentemente dal fatto che i nodi gestiti operino in una rete privata o pubblica, senza accesso ai bucket Amazon Simple Storage Service (Amazon S3) AWS gestiti richiesti, le operazioni di patching falliscono. Per informazioni sui bucket S3 a cui i nodi gestiti devono essere in grado di accedere, consulta Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS e Migliora la sicurezza delle EC2 istanze utilizzando gli VPC endpoint per Systems Manager.

Sistemi operativi supportati per Patch Manager

La funzionalità Patch Manager non supporta tutte le stesse versioni dei sistemi operativi supportate da altre funzionalità di Systems Manager. Ad esempio: Patch Manager non supporta CentOS 6.3 o Raspberry Pi OS 8 (Jessie). (Per l'elenco completo dei sistemi operativi supportati da Systems Manager, consulta Sistemi operativi supportati per Systems Manager). Pertanto, assicurati che nei nodi gestiti che desideri utilizzare con Patch Manager sia in esecuzione uno dei sistemi operativi indicati nella seguente tabella.

Nota

Patch Managersi affida agli archivi di patch configurati su un nodo gestito, come Windows Update Catalog e Windows Server Update Services per Windows, per recuperare le patch disponibili da installare. Pertanto, per le versioni del sistema operativo end of life (EOL), se non sono disponibili nuovi aggiornamenti, Patch Manager potrebbe non essere possibile generare report sui nuovi aggiornamenti. Ciò può essere dovuto al fatto che non vengono rilasciati nuovi aggiornamenti dal responsabile della distribuzione Linux, Microsoft o Apple, o perché il nodo gestito non dispone della licenza appropriata per accedere ai nuovi aggiornamenti.

Patch Managerriporta lo stato di conformità rispetto alle patch disponibili sul nodo gestito. Pertanto, se un'istanza esegue un sistema EOL operativo e non sono disponibili aggiornamenti, Patch Manager potrebbe segnalare il nodo come conforme, a seconda delle linee di base delle patch configurate per l'operazione di patching.

Sistema operativo Informazioni

Linux

  • AlmaLinux 8.3—8.10, 9.0—9.4

  • Amazon Linux 2012.03 - 2018.03

  • Amazon Linux 2 versione 2.0 e tutte le versioni successive

  • Amazon Linux 2022

  • Amazon Linux 2023

  • CentOS 6.5 - 7.9, 8.0 - 8.5

  • CentOS Stream8

  • Debian Server8.x, 9.x, 10.x, 11.x e 12.x

  • Oracle Linux7,5—8,9, 9,0—9,3

  • Raspberry Pi OS (in precedenza Raspbian) 9 (Stretch)

  • Red Hat Enterprise Linux() 6,5—8,10RHEL, 9,0—9,4

  • Rocky Linux8,4—8,10, 9,0—9,4

  • SUSE Linux Enterprise Server() 12.0 SLES e versioni successive 12. versioni x; 15.0 - 15.5

  • Ubuntu Server14.04LTS, 16.04, 18.04LTS, 20.04, 20.10LTS, 22.04 LTS e 23.04 STR LTS
macOS

11.3.1; 11.4-11.7 (Big Sur)

12.0-12.6 (Monterey)

13.0-13.5 (Ventura)

14.0 (Sonoma)

Aggiornamenti al sistema operativo macOS

Patch Manager non supporta gli aggiornamenti o gli upgrade del sistema operativo (OS) per macOS, ad esempio da 12.x a 13.x o da 13.1 a 13.2. Per eseguire gli aggiornamenti della versione del sistema operativo su macOS, consigliamo di utilizzare i meccanismi di aggiornamento del sistema operativo integrati di Apple. Per ulteriori informazioni, consulta Device Management sul sito Web della documentazione Apple Developer.

Supporto Homebrew

Il sistema di gestione dei pacchetti software open source Homebrew ha interrotto il supporto per macOS 10.14.x (Mojave) e 10.15.x (Catalina). Di conseguenza, le operazioni di applicazione patch su queste versioni non sono attualmente supportate.

Supporto delle Regioni

macOSnon è supportato in tutto. Regioni AWS Per ulteriori informazioni sul EC2 supporto Amazon permacOS, consulta le istanze Amazon EC2 Mac nella Amazon EC2 User Guide.

Dispositivi edge macOS

SSM Agentper i dispositivi AWS IoT Greengrass principali non è supportato su. macOS Non puoi utilizzare Patch Manager per applicare patch macOS Dispositivi Edge.

Windows

Da Windows Server 2008 a Windows Server 2022, incluse le versioni R2.

Nota

SSM Agentper i dispositivi AWS IoT Greengrass principali non è supportato in Windows 10. Non puoi utilizzare Patch Manager per applicare patch ai dispositivi edge Windows 10.

Windows Serversupporto 2008

A partire dal 14 gennaio 2020, Windows Server 2008 non è più supportato per gli aggiornamenti delle funzionalità o della sicurezza da Microsoft. Le Amazon Machine Images (AMIs) (AMI) legacy per Windows Server 2008 e 2008 R2 includono ancora la versione 2 di SSM Agent preinstallata, ma Systems Manager non supporta più ufficialmente le versioni 2008 e non aggiorna più l'agente per tali versioni di Windows Server. Inoltre, SSM Agent versione 3 potrebbe non essere compatibile con tutte le operazioni su Windows Server 2008 e 2008 R2. La versione finale ufficialmente supportata di SSM Agent per Windows Server 2008 è la 2.3.1644.0.

Windows ServerSupporto per R2 2012 e 2012

Windows ServerIl supporto per R2 del 2012 e del 2012 ha raggiunto la fine del supporto il 10 ottobre 2023. Per l'utilizzo Patch Manager con queste versioni, si consiglia di utilizzare anche Extended Security Updates (ESUs) di Microsoft. Per ulteriori informazioni, vedere Windows Server2012 e 2012 R2: termine del supporto sul sito Web di Microsoft.