Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Systems Manager Patch Manager
Patch Manager, una funzionalità di AWS Systems Manager, automatizza il processo di applicazione di patch ai nodi gestiti con aggiornamenti relativi alla sicurezza e altri tipi di aggiornamenti.
Importante
A partire dal 22 dicembre 2022, Systems Manager fornisce supporto per le politiche di patch inQuick Setup, una funzionalità di AWS Systems Manager. L'utilizzo delle policy di patch è il metodo consigliato per configurare le operazioni di applicazione delle patch. Utilizzando un'unica configurazione dei criteri di patch, è possibile definire l'applicazione delle patch per tutti gli account in tutte le regioni dell'organizzazione, solo per gli account e le regioni scelti o per una singola coppia account-area. Per ulteriori informazioni, consulta Configurazioni delle policy di patch in Quick Setup.
È possibile utilizzare Patch Manager per applicare patch sia per i sistemi operativi sia per le applicazioni (In Windows Server, il supporto delle applicazioni è limitato ai soli aggiornamenti delle applicazioni Microsoft). È possibile utilizzare Patch Manager per installare Service Pack nei nodi di Windows ed eseguire aggiornamenti di versione secondari sui nodi di Linux. Puoi applicare patch a flotte di istanze Amazon Elastic Compute Cloud EC2 (Amazon), dispositivi edge, server locali e macchine virtuali (VMs) in base al tipo di sistema operativo. Sono incluse le versioni supportate di diversi sistemi operativi, come elencato in Prerequisiti di Patch Manager. Puoi analizzare le istanze per visualizzare solo un report delle patch mancanti, oppure analizzare e installare automaticamente tutte le patch mancanti. Per iniziare a utilizzare Patch Manager, apri la console di Systems Manager
Nota
AWS non testa le patch prima di renderle disponibili in. Patch Manager Inoltre, Patch Manager non supporta l'aggiornamento delle versioni principali dei sistemi operativi, ad esempio da Windows Server 2016 a Windows Server 2019, o da SUSE Linux Enterprise Server (SLES) 12.0 a SLES 15.0.
Per i tipi di sistemi operativi basati su Linux che segnalano un livello di gravità per le patch, Patch Manager utilizza il livello di gravità riportato dall'editore del software per l'avviso di aggiornamento o per la singola patch. Patch Managernon ricava i livelli di gravità da fonti di terze parti, come il Common Vulnerability Scoring System
Patch di base
Patch Manager utilizza patch di base che includono regole per l'approvazione automatica delle patch entro pochi giorni dalla relativa pubblicazione, oltre a un elenco delle patch approvate e rifiutate. Quando viene eseguita un'operazione di applicazione di patch, Patch Manager confronta le patch attualmente applicate a un nodo gestito con quelle da applicare in base alle regole configurate nella patch di base. Puoi impostare Patch Manager in modo che mostri soltanto un report delle patch mancanti (un'operazione Scan
) oppure Patch Manager può installare automaticamente tutte le patch mancanti in un nodo gestito (un'operazione Scan and install
).
Metodi operativi di applicazione delle patch
Patch Manager offre attualmente quattro metodi per eseguire operazioni Scan
e Scan
and install
:
-
(Consigliato) Una policy di patch configurata inQuick Setup: in base all'integrazione con AWS Organizations, una singola policy di patch può definire le pianificazioni di applicazione delle patch e le linee di base delle patch per un'intera organizzazione, compresi più account e tutti quelli in cui operano. Account AWS Regioni AWS Una policy di patch può inoltre riguardare solo alcune unità organizzative (OUs) di un'organizzazione. Puoi utilizzare un'unica policy di patch per eseguire l'analisi e l'installazione in base a pianificazioni diverse. Per ulteriori informazioni, consulta Configurare l'applicazione di patch per le istanze di un'organizzazione e Configurazioni delle policy di patch in Quick Setup.
-
Un'opzione di gestione host configurata in Quick Setup. Le configurazioni di gestione host sono supportate anche dall'integrazione con AWS Organizations, consentendo così di eseguire un'operazione di applicazione di patch per un'intera organizzazione. Tuttavia, questa opzione si limita alla ricerca delle patch mancanti utilizzando l'attuale patch di base predefinita e fornendo risultati nei report di conformità. Questo metodo operativo non è in grado di installare patch. Per ulteriori informazioni, consulta Configurare la gestione degli EC2 host Amazon.
-
Una finestra di manutenzione per eseguire un'attività
Scan
oInstall
di patch. Una finestra di manutenzione, che puoi impostare nella funzionalità di Systems Manager denominata Maintenance Windows, può essere configurata per eseguire diversi tipi di attività secondo una pianificazione definita dall'utente. Un'attività di tipo Run Command può essere utilizzata per eseguire processiScan
oScan and install
in un set di nodi gestiti di tua scelta. Ogni attività della finestra di manutenzione può riguardare i nodi gestiti in una sola Account AWSRegione AWS coppia. Per ulteriori informazioni, consulta Tutorial: creare una finestra di manutenzione per l'applicazione delle patch utilizzando la console. -
Una patch su richiesta è ora operativa Patch Manager: l'opzione Patch now consente di ignorare le configurazioni pianificate quando è necessario applicare patch ai nodi gestiti il più rapidamente possibile. Con Patch now (Applica subito una patch), puoi specificare se eseguire l'operazione
Scan
oScan and install
e scegliere i nodi gestiti sui cui eseguirla. È inoltre possibile scegliere di eseguire i documenti (SSMdocumenti) di Systems Manager come hook del ciclo di vita durante l'operazione di patching. Ogni operazione Patch ora può indirizzare i nodi gestiti in una sola coppia. Account AWSRegione AWS Per ulteriori informazioni, consulta Patching dei nodi gestiti on demand.
Creazione di report di conformità
Dopo un'operazione Scan
, puoi utilizzare la console di Systems Manager per visualizzare le informazioni relative ai nodi gestiti che non sono conformi alle patch e alle patch mancanti per ciascun nodo. Puoi anche generare report di conformità alle patch in formato .csv inviati a un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta. È possibile generare report una tantum o generare report in base a una pianificazione regolare. Per un singolo nodo, i report includono dettagli di tutte le patch per il nodo. Per un report su tutti i nodi gestiti, viene fornito solo un riepilogo del numero di patch mancanti. Dopo aver generato un report, puoi utilizzare uno strumento come Amazon QuickSight per importare e analizzare i dati. Per ulteriori informazioni, consulta Utilizzo dei report sulla conformità delle patch.
Nota
Un elemento di conformità generato tramite l'uso di una policy di patch ha un tipo di esecuzione PatchPolicy
. Un elemento di conformità non generato in un'operazione di policy di patch presenta un tipo di esecuzione Command
.
Integrazioni
Patch Managersi integra con i seguenti altri Servizi AWS:
-
AWS Identity and Access Management (IAM) — Utilizzato IAM per controllare quali utenti, gruppi e ruoli hanno accesso alle Patch Manager operazioni. Per ulteriori informazioni, vedere Funzionamento di AWS Systems Manager con IAM e Configurare le autorizzazioni di istanza richieste per Systems Manager.
-
AWS CloudTrail— CloudTrail Da utilizzare per registrare una cronologia verificabile degli eventi delle operazioni di patch avviati da utenti, ruoli o gruppi. Per ulteriori informazioni, consulta Registrazione delle AWS Systems Manager API chiamate con AWS CloudTrail.
-
AWS Security Hub— I dati sulla conformità delle patch Patch Manager possono essere inviati a. AWS Security Hub Security Hub offre una visione completa degli avvisi di sicurezza ad alta priorità e dello stato di conformità. Monitora anche lo stato di applicazione delle patch del tuo parco istanze. Per ulteriori informazioni, consulta Integrazione di Patch Manager con AWS Security Hub.
-
AWS Config— Configura la registrazione AWS Config per visualizzare i dati di gestione delle EC2 istanze Amazon nella Patch Manager dashboard. Per ulteriori informazioni, consulta Visualizzazione dei riepiloghi del pannello di controllo delle patch.
Argomenti
- Configurazioni delle policy di patch in Quick Setup
- Prerequisiti di Patch Manager
- Come Patch Manager funzionano le operazioni
- SSMDocumenti di comando per applicare patch ai nodi gestiti
- Patch di base
- Utilizzo di Kernel Live Patching su nodi gestiti Amazon Linux 2
- Utilizzo Patch Manager delle risorse e della conformità tramite la console
- Lavorare con Patch Manager le risorse utilizzando il AWS CLI
- AWS Systems ManagerPatch Managertutorial
- Risoluzione dei problemi relativi a Patch Manager