Documenti sul comando SSM per l'applicazione di patch a nodi gestiti
Questo argomento descrive gli otto documenti di Systems Manager (documenti SSM) attualmente disponibili, utili per assicurarti che i nodi gestiti vengano applicati patch mediante gli aggiornamenti più recenti correlati alla sicurezza.
Consigliamo di utilizzare solo cinque di questi documenti per le applicazione di patch. Questi cinque documenti SSM offrono una gamma completa di opzioni di applicazione di patch utilizzando AWS Systems Manager. Quattro di questi documenti sono stati rilasciati successivamente ai quattro documenti SSM legacy che sostituiscono e rappresentano espansioni o consolidamenti di funzionalità.
Documenti SSM consigliati per l'applicazione di patch
Consigliamo di utilizzare i cinque documenti SSM seguenti per le operazioni di applicazione di patch.
-
AWS-ConfigureWindowsUpdate -
AWS-InstallWindowsUpdates -
AWS-RunPatchBaseline -
AWS-RunPatchBaselineAssociation -
AWS-RunPatchBaselineWithHooks
Documenti SSM legacy per l'applicazione di patch
I seguenti quattro documenti SSM legacy rimangono disponibili in alcuni Regioni AWS ma non sono più aggiornati o supportati. Non è garantito il funzionamento di questi documenti in ambienti IPv6 e supportano solo IPv4. Non è possibile garantire che funzionino in tutti gli scenari e potrebbero perdere supporto in futuro. Si consiglia di non utilizzare questi documenti per le operazioni di patchamento.
-
AWS-ApplyPatchBaseline -
AWS-FindWindowsUpdates -
AWS-InstallMissingWindowsUpdates -
AWS-InstallSpecificWindowsUpdates
Per ulteriori informazioni sull'uso di questi documenti SSM nelle operazioni di applicazione di patch, consulta le seguenti sezioni.
Argomenti
Documenti SSM consigliati per i nodi gestiti di applicazione di patch
Documenti SSM legacy per l'applicazione di patch a nodi gestiti
Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaseline
Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaselineAssociation
Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaselineWithHooks
Documenti SSM consigliati per i nodi gestiti di applicazione di patch
I seguenti cinque documenti SSM sono consigliati per l'uso nelle operazioni di applicazioni di patch nei nodi gestiti.
Documenti SSM consigliati
AWS-ConfigureWindowsUpdate
Supporta la configurazione di funzioni Windows Update di base e il relativo utilizzo per l'installazione automatica degli aggiornamenti (o per disabilitare gli aggiornamenti automatici). Disponibile in tutte le Regioni AWS.
Questo documento SSM richiede a Windows Update di scaricare e installare gli aggiornamenti specificati e di riavviare i nodi gestiti in base alle esigenze. Utilizza questo documento con State Manager, uno strumento di AWS Systems Manager, per assicurarti che Windows Update mantenga la propria configurazione. Puoi anche eseguirlo manualmente con per modificare la configurazione di Windows Update.
I parametri disponibili in questo documento ti consentono di specificare una categoria di aggiornamenti da installare (o se disabilitare gli aggiornamenti automatici), nonché di specificare l'ora e il giorno della settimana dell'esecuzione delle operazioni di applicazione di patch. Questo documento SSM è utile in particolare se non devi controllare rigidamente gli aggiornamenti Windows e se non devi raccogliere le informazioni sulla conformità.
Sostituisce i seguenti documenti SSM legacy:
-
Nessuno
AWS-InstallWindowsUpdates
Installa gli aggiornamenti su un nodo gestito Windows Server. Disponibile in tutte le Regioni AWS.
Questo documento SSM offre le funzionalità delle basi di patch nel caso desiderassi installare un aggiornamento specifico (utilizzando il parametro Include Kbs) o installare le patch con specifiche classificazioni o categorie, senza necessità di avere le informazioni sulla conformità delle patch.
Sostituisce i seguenti documenti SSM legacy:
-
AWS-FindWindowsUpdates -
AWS-InstallMissingWindowsUpdates -
AWS-InstallSpecificWindowsUpdates
I tre documenti legacy svolgono diverse funzioni, ma è possibile ottenere gli stessi risultati utilizzando altre impostazioni dei parametri con il più recente documento SSM AWS-InstallWindowsUpdates. Tali impostazioni dei parametri sono descritte in Documenti SSM legacy per l'applicazione di patch a nodi gestiti.
AWS-RunPatchBaseline
Consente di installare patch nei nodi gestiti o analizza i nodi per stabilire se eventuali patch qualificate risultano mancanti. Disponibile in tutte le Regioni AWS.
AWS-RunPatchBaseline consente di controllare le approvazioni delle patch utilizzando la base di patch specificata come «predefinita» per un tipo di sistema operativo. Fornisce le informazioni sulla conformità delle patch visualizzabili con gli strumenti di conformità di Systems Manager. Questi strumenti offrono approfondimenti sullo stato di conformità delle patch dei nodi gestiti, ad esempio a quali nodi mancano le patch e quali sono tali patch. Quando si utilizza AWS-RunPatchBaseline, le informazioni sulla conformità delle patch vengono registrate utilizzando il comando APIPutInventory. Per i sistemi operativi Linux, le informazioni sulla conformità vengono fornite per le patch dal repository di fonte di default configurato in un nodo gestito e da qualsiasi repository di origine alternativo specificato in una patch di base personalizzata. Per ulteriori informazioni sui repository di origine alternativi, consulta Come specificare un repository alternativo di origine delle patch (Linux). Per ulteriori informazioni sugli strumenti di conformità di Systems Manager, consulta Conformità AWS Systems Manager.
Sostituisce i seguenti documenti legacy:
-
AWS-ApplyPatchBaseline
Il documento legacy AWS-ApplyPatchBaseline è valido solo per i nodi gestiti Windows Server e non fornisce supporto per l'applicazione di patch alle applicazioni. Il più recente AWS-RunPatchBaseline offre lo stesso supporto per i sistemi Windows e Linux. Una versione 2.0.834.0 o successiva di SSM Agent è richiesta per poter utilizzare il documento AWS-RunPatchBaseline.
Per ulteriori informazioni sull'utilizzo del documento SSM AWS-RunPatchBaseline, consulta Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaseline.
AWS-RunPatchBaselineAssociation
Consente di installare patch nelle istanze o analizza le istanze per stabilire se eventuali patch qualificate risultano mancanti. Disponibile in tutte le Regioni AWS commerciali.
AWS-RunPatchBaselineAssociation differisce da AWS-RunPatchBaseline in alcuni modi importanti:
-
AWS-RunPatchBaselineAssociationè destinato all'uso principalmente con associazioni State Manager create utilizzando Quick Setup, uno strumento di AWS Systems Manager. In particolare, quando utilizzi il tipo di configurazione di gestione host Quick Setup, scegliendo l'opzione Scan instances for missing patches daily (Scansiona le istanze per le patch mancanti ogni giorno), il sistema utilizzaAWS-RunPatchBaselineAssociationper l'operazione.Nella maggior parte dei casi, tuttavia, quando si impostano le proprie operazioni di patch, è necessario scegliere AWS-RunPatchBaseline o AWS-RunPatchBaselineWithHooks invece di
AWS-RunPatchBaselineAssociation.Per ulteriori informazioni, consulta i seguenti argomenti:
-
AWS-RunPatchBaselineAssociationsupporta l'utilizzo di tag per identificare la base di patch da utilizzare con un insieme di destinazioni durante l'esecuzione. -
Per le operazioni di applicazione di patch che utilizzano
AWS-RunPatchBaselineAssociation, i dati di conformità delle patch vengono compilati in termini di un'associazione State Manager specifica. I dati di conformità delle patch raccolti quandoAWS-RunPatchBaselineAssociationviene registrato utilizzando il comandoPutComplianceItemsal posto del comandoPutInventory. Ciò impedisce che i dati di conformità non associati a questa particolare associazione vengano sovrascritti.Per i sistemi operativi Linux, le informazioni sulla conformità vengono fornite per le patch dal repository di origine predefinito configurato in un'istanza e da qualsiasi repository di origine alternativo specificato in una base di patch personalizzata. Per ulteriori informazioni sui repository di origine alternativi, consulta Come specificare un repository alternativo di origine delle patch (Linux). Per ulteriori informazioni sugli strumenti di conformità di Systems Manager, consulta Conformità AWS Systems Manager.
Sostituisce i seguenti documenti legacy:
-
Nessuno
Per ulteriori informazioni sull'utilizzo del documento SSM AWS-RunPatchBaselineAssociation, consulta Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaselineAssociation.
AWS-RunPatchBaselineWithHooks
Consente di installare patch nei nodi gestiti o li analizza per determinare se eventuali patch qualificate risultano mancanti, con hook opzionali che è possibile utilizzare per eseguire i documenti SSM in tre punti durante il ciclo di applicazione di patch. Disponibile in tutte le Regioni AWS commerciali. Non supportato su macOS.
AWS-RunPatchBaselineWithHooks differisce da AWS-RunPatchBaseline nella sua operazione Install.
AWS-RunPatchBaselineWithHooks supporta gli hook del ciclo di vita che vengono eseguiti in punti designati durante l'applicazione di patch del nodo gestito. Poiché le installazioni di patch a volte richiedono il riavvio dei nodi gestiti, l'operazione di applicazione di patch è suddivisa in due eventi, per un totale di tre hook che supportano funzionalità personalizzate. Il primo hook è prima dell'operazione Install with NoReboot. Il secondo hook è dopo dell'operazione Install with NoReboot. Il terzo hook è disponibile dopo il riavvio del nodo.
Sostituisce i seguenti documenti legacy:
-
Nessuno
Per ulteriori informazioni sull'utilizzo del documento SSM AWS-RunPatchBaselineWithHooks, consulta Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaselineWithHooks.
Documenti SSM legacy per l'applicazione di patch a nodi gestiti
I seguenti quattro documenti SSM sono ancora disponibili in alcune Regioni AWS. Tuttavia, non sono più aggiornati e potrebbero non essere più supportati in futuro, pertanto ne sconsigliamo l'utilizzo. In sostituzione, usa i documenti descritti in Documenti SSM consigliati per i nodi gestiti di applicazione di patch.
Documenti SSM legacy
AWS-ApplyPatchBaseline
Supporta solo lei nodi gestiti Windows Server, ma non include il supporto per l'applicazione di patch alle applicazioni disponibili nel rispettivo documento sostitutivo AWS-RunPatchBaseline. Non disponibile in Regioni AWS successive all'agosto 2017.
Nota
La sostituzione per questo documento SSM, AWS-RunPatchBaseline, richiede la versione 2.0.834.0 o una versione successiva di SSM Agent. È possibile utilizzare il documento AWS-UpdateSSMAgent per aggiornare i nodi gestiti alla versione più recente dell'agente.
AWS-FindWindowsUpdates
Sostituito da AWS-InstallWindowsUpdates, che è in grado di eseguire le stesse operazioni. Non disponibile in Regioni AWS successive all'aprile 2017.
Per ottenere lo stesso risultato del documento SSM legacy, utilizza la seguente configurazione dei parametri con il documento sostitutivo consigliato, AWS-InstallWindowsUpdates:
-
Action=Scan -
Allow Reboot=False
AWS-InstallMissingWindowsUpdates
Sostituito da AWS-InstallWindowsUpdates, che è in grado di eseguire le stesse operazioni. Non disponibile in Regioni AWS successive all'aprile 2017.
Per ottenere lo stesso risultato del documento SSM legacy, utilizza la seguente configurazione dei parametri con il documento sostitutivo consigliato, AWS-InstallWindowsUpdates:
-
Action=Install -
Allow Reboot=True
AWS-InstallSpecificWindowsUpdates
Sostituito da AWS-InstallWindowsUpdates, che è in grado di eseguire le stesse operazioni. Non disponibile in Regioni AWS successive all'aprile 2017.
Per ottenere lo stesso risultato del documento SSM legacy, utilizza la seguente configurazione dei parametri con il documento sostitutivo consigliato, AWS-InstallWindowsUpdates:
-
Action=Install -
Allow Reboot=True -
Include Kbs=elenco separato da virgole di articoli KB
