翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Linux セキュリティ更新の管理
重要
この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、 AWS re:Post
セキュリティの更新
Linux オペレーティングシステムのプロバイダーは定期的な更新を提供し、その多くがオペレーティングシステムのセキュリティパッチですが、中にはインストールされているパッケージに対する更新も含まれます。インスタンスのオペレーティングシステムは、最新のセキュリティパッチで最新の状態にする必要があります。
デフォルトでは、 AWS OpsWorks スタックは、インスタンスの起動が完了した後、セットアップ中に最新の更新を自動的にインストールします。 AWS OpsWorks スタックは、アプリケーションサーバーの再起動などの中断を避けるため、インスタンスがオンラインになった後に更新を自動的にインストールしません。代わりに、中断の可能性を最小限に抑えるため、オンラインインスタンスへの更新はユーザーが自身で管理します。
次のいずれかの方法を使用して、オンラインインスタンスを更新することをお勧めします。
-
新しいインスタンスを作成して、現在のオンラインインスタンスを置き換えます。次に、現在のインスタンスを削除します。
新しいインスタンスに、セットアップ時にインストールされたセキュリティパッチの最新のセットが適用されます。
-
Chef 11.10 以前のスタックの Linux ベースのインスタンスでは、Update Dependencies スタックコマンドを実行します。このコマンドは指定したインスタンスに、セキュリティパッチの現在のセットと他の更新をインストールします。
これらのアプローチの両方で、 AWS OpsWorks スタックは yum update
Amazon Linux および Red Hat Enterprise Linux (RHEL) または Ubuntu apt-get update
に対して を実行して更新を実行します。それぞれのディストリビューションで更新の処理方法は若干異なるため、更新がインスタンスにどのような影響を及ぼすか正確に把握するため、関連リンクの情報を確認してください。
-
[Amazon Linux (Amazon Linux)] – Amazon Linux は、セキュリティパッチ更新のほか、パッケージ更新など、機能の更新をインストールします。
詳細については、「Amazon Linux AMI に関するよくある質問
」を参照してください。 -
[Ubuntu (Ubuntu)] – Ubuntu では主にセキュリティパッチのインストールに限定されますが、制限された数の重要な修正でパッケージ更新をインストールします。
詳細については、Ubuntu Wiki の LTS に関するページ
を参照してください。 -
CentOS – CentOS の更新では、一般的に前のバージョンとのバイナリ互換性が維持されます。
-
RHEL – RHEL の更新では、一般的に前のバージョンとのバイナリ互換性が維持されます。
詳細については、「Red Hat Enterprise Linux ライフサイクル
」を参照してください。
特定のパッケージバージョンを指定するなど、更新をより詳細に制御したい場合は、、CreateInstance、、または UpdateLayerアクションCreateLayer、または同等の AWS SDKInstallUpdatesOnBoot
パラメータを に設定することで、自動更新を無効にすることができますfalse
。次の例に、AWS CLI を使用して、既存のレイヤーのデフォルト設定として InstallUpdatesOnBoot
を無効にする方法を示します。
aws opsworks update-layer --layer-id
layer ID
--no-install-updates-on-boot
その後、更新を自身で管理する必要があります。たとえば、次のいずれかの方法を使用できます。
-
適切なシェルコマンドを実行するカスタムレシピを実装して、希望の更新をインストールします。
システムの更新はライフサイクルイベントとは本質的に無関係であるため、カスタムクックブックにレシピを含めて、それを手動で実行します。パッケージ更新の場合、シェルコマンドの代わりに、yum_package
(Amazon Linux) または apt_package (Ubuntu) リソースを使用することもできます。 -
SSH で各インスタンスにログインし、適切なコマンドを手動で実行してください。