翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# パッチオーケストレーターの使用
<a name="patch-orchestrator-using"></a>

以下の詳細を含むサービスリクエストを送信して、アカウントの AMS パッチオーケストレーターを有効にします。
+ **カテゴリ:** その他
+ **件名**: パッチオーケストレーターにオンボードする
+ **CC E **メール: このオンボーディング RFC のステータスが変更されたときに CC E メールアドレスに通知を受け取る
+ **詳細**: 次の情報を E メールに貼り付け、値を指定します。ThirdTagKey はオプションであることに注意してください。推奨事項と例については、次の表を参照してください。

  ```
  Default maintenance window Schedule:
  Default Maintenance Window Schedule TimeZone:
  Default Maintenance Window Duration:
  Default Maintenance Window Cutoff:
  Default Patch Backup Retention In Days:
  Default Maintenance Window Notification Emails:
  First Tag Key:
  Second Tag Key:
  Third Tag Key:
  ```

次の表に、指定した値の形式と推奨事項を示します。


**パッチオーケストレーターのタグベースのパッチ設定**  

| パラメータの名前 | 情報 | 推奨事項または例 | 
| --- | --- | --- | 
| デフォルトのメンテナンスウィンドウのスケジュール | cron 式または rate 式形式のデフォルトのメンテナンスウィンドウのスケジュール。例えば、次のようになります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/patch-orchestrator-using.html) cron 式の作成、および cron および rate 式のリソースへのリンクの詳細については、[「メンテナンスウィンドウの Cron および rate 式](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html#reference-cron-and-rate-expressions-maintenance-window)」を参照してください。 | ウィンドウを少なくとも 1 か月に 1 回、一貫した平日に実行することをお勧めします。 | 
| デフォルトのメンテナンスウィンドウのスケジュールタイムゾーン | デフォルトのメンテナンスウィンドウが実行されるタイムゾーンは、Internet Assigned Numbers Authority (IANA) 形式で基づいています。 | 例えば、次のようになります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/patch-orchestrator-using.html) | 
| デフォルトのメンテナンスウィンドウの期間 | デフォルトのメンテナンスウィンドウの時間単位の期間。 | 50 インスタンスごとに少なくとも 1 時間、カットオフには 2 時間。 | 
| デフォルトのメンテナンスウィンドウのカットオフ | 新しいパッチ適用コマンドが開始されない、デフォルトのメンテナンスウィンドウが終了する前の時間数。この間隔は、ウィンドウが終了する前にパッチ適用を完了するのに十分な時間を確保するために存在します。 | 少なくとも 2 時間。 | 
| デフォルトのパッチバックアップ保持日数 (オプション) | インスタンスにパッチを適用する前に作成された EBS 復元ポイントを保持するデフォルトの日数。 | デフォルトは 60 のままにすることをお勧めします。 | 
| デフォルトのメンテナンスウィンドウ通知 E メール | デフォルトのメンテナンスウィンドウのパッチ適用ステータスに関する通知を受け取るための 1～5 つの E メールアドレスまたはディストリビューションリスト。 | 個々の E メールではなく、グループディストリビューションリストを使用することをお勧めします。 | 
| 最初のタグキー | パッチグループのタグ値の作成に使用する最初のタグキー。 | 例えば、AppId などです。パッチグループタグを使用して独自のパッチグループを既に定義している場合は、**null** を指定します。 | 
| 2 番目のタグキー | パッチグループのタグ値の作成に使用する 2 番目のタグキー。 | 例えば、環境などです。パッチグループタグを使用して独自のパッチグループを既に定義している場合は、**null** を指定します。 | 
| 3 番目のタグキー (オプション) | パッチグループのタグ値の作成に使用するオプションの 3 番目のタグキー。 | 例えば、Group などです。 | 

新しいパッチオーケストレーターパッチ適用サービスモデルにオンボーディングすると、アカウント内で適切にタグ付けされたすべてのインスタンスは、パッチグループタグを持つパッチグループに属します。パッチオーケストレーターは、既存のパッチグループタグ、またはパッチオーケストレーターのオンボーディング中に指定した 2 つまたは 3 つの連結タグ値で構成される AMS 作成タグを使用します。たとえば、\$1*Tag Value 1*\$1-\$1*Tag Value 2*\$1-\$1*Tag Value 3*\$1 です。AMS は、これらの AMS 適用パッチグループタグを 12 時間ごとに更新します。必要に応じて、タグ [\$1 更新 (マネージドオートメーション) ](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-tag-update-review-required.html)またはタグ [\$1 更新 (マネージドオートメーション) ](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-tag-update-review-required.html)の変更タイプを使用してパッチグループのタグ値を更新できます。

例えば、Amazon EC2 インスタンスに次のタグキーと値のペアがある場合です。
+ `AppId:MyApplication`
+ `Environment:Production`
+ `Group:1`

オンボーディング中に、次のタグキーを指定しました。
+ `First Tag Key = AppId`
+ `Second Tag Key = Environment`
+ `Third Tag Key = Group`

AMS は、次のパッチグループタグを作成し、インスタンスに適用します: `Patch Group:MyApplication-Production-1`。

**注記**  
サポートされていないオペレーティングシステムを持つインスタンス、またはメンテナンスウィンドウ中に停止されたインスタンスでは、パッチ失敗アラートは作成されません。

## パッチオーケストレーターの前提条件
<a name="patch-o-prerequisites"></a>

パッチオーケストレーターワークフローは、System Manager Automation Document: AWSManagedServices-PatchInstanceFromMaintenanceWindow の最新バージョンによってパッチが適用された Amazon EC2 インスタンスを対象としています。

ドキュメントワークフローの一部として、実行コマンドドキュメント「AWS-RunPatchBaseline」は、パッチグループメンバーから各 Amazon EC2 インスタンスに対して実行されます。詳細については、[「AWS-RunPatchBaseline SSM ドキュメントについて](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-about-aws-runpatchbaseline.html)」を参照してください。

**要件:**
+ AMS が提供する Amazon マシンイメージ (AMI) からデプロイされた Amazon EC2 インスタンス、または「移行パートナー移行インスタンスからのスタック」CT (ct-257p9zjk14ija) を介して AMI にデプロイされた Amazon EC2 インスタンス。
+ Egress インターネット接続が有効になりました。ファイアウォール/プロキシソリューションの場合、Windows 更新エンドポイントや Linux リポジトリミラーエンドポイント、AWS システムマネージャープロキシ設定、メタデータプロキシ設定を許可する必要があります。詳細については、[「プロキシを使用するように SSM エージェントを設定する」および](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-proxy-with-ssm-agent.html)[「HTTP プロキシを使用する](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-proxy.html)」を参照してください。
+ IAM ロールの SSM サービスの最小アクセス許可に一致する IAM `customer-mc-ec2-instance-profile` ロール。
+ 10 GB の使用可能なルートパーティションスペースをお勧めします。Linux OS の場合、`/var`パーティションで少なくとも 2 GB を使用できます。
+ 更新のダウンロードのための有効な認証機関の使用。
+ Windows Server Update Services (WSUS) - DisableWindowsUpdateAccess、NoWindowsUpdate、自動更新によって Windows Update プロセスのオペレーションが損なわれることはありません。

**検証**:
+ yum パッケージマネージャーを使用する Linux OS インスタンスの場合、 を実行して更新の可用性を検証できます。 `#yum check-update`
+ Linux OS RedHat 5.7 以降、6.1 以降、および 7.0 以降では、Amazon EC2 インスタンスは「移行パートナー移行インスタンスからのスタック」CT (ct-257p9zjk14ija) を介して AMS アカウントに移行され、更新パフォーマンスについてサブスクリプションマネージャーのステータスを検証する必要があります。
+ Windows OS で、Windows Server Update Services (WSUS) を有効にします。更新をスキャンまたはインストールする WSUS 機能をブロックするローカルポリシーはありません。管理者としてログインしたら、Windows Update Service コンソールから利用可能な更新のスキャンを実行して検証できます。2012R2、2016、2019 を含む Windows Server OS リリースには、ダウンロードしてインストールするためのデフォルトの Windows Update 設定があります。スキャン前に必要な設定を行うことができます。OS のそれ以降のリリースでは、このオペレーションによってインストールがトリガーされます。必要な動作を事前に設定してください。
+ AWSManagedServices-CheckPatchingPrerequisites Automation document to run against Amazon EC2 instance for assessment of patch readiness」というサービスリクエストを送信して、AMS Operations チームから検証をリクエストします。

**注記**  
サポートされていないオペレーティングシステムを持つインスタンス、またはメンテナンスウィンドウ中に停止されたインスタンスでは、パッチ失敗アラートは作成されません。

## パッチオーケストレーターの予約済みタグ
<a name="patch-reserved-tags"></a>

パッチオーケストレーターは、変更できない次のタグも生成します。
+ **AMSPatchGroup** – このタグはパッチグループのタグ値の生成に使用されます。AMSPatchGroup を変更しないでください。カスタムの「Patch Group」値を使用する場合は、「Patch Group」タグを変更できます。パッチオーケストレーターは、オンボーディング中に提供されたタグキーに基づいて AMSPatchGroup の値を生成し続けますが、カスタム値に設定されている場合、「パッチグループ」タグ値は変更されません。カスタム「パッチグループ」値の使用を停止するには、「パッチグループ」の値を AMSPatchGroup タグ値と一致するように設定できます。
+ **AMSDefaultPatchGroup** – このタグは、インスタンスがデフォルトのメンテナンスウィンドウの一部であるかどうかを示し、値は True または False のいずれかです。インスタンスのパッチグループがメンテナンスウィンドウに割り当てられていない場合、この値は True に設定されます。