AWS-RunPatchBaseline または AWS-RunPatchBaselineAssociation で InstallOverrideList パラメータを使用するサンプルシナリオ
InstallOverrideList パラメータを使用すると、AWS Systems Manager の一機能である Patch Manager の現在のデフォルトのパッチベースラインで指定されたパッチを上書きできます。このトピックでは、このパラメータを使用して次のことを実現する方法の例を示します。
-
マネージドノードのターゲットグループに異なるパッチセットを適用する。
-
これらのパッチセットを異なる頻度で適用する。
-
両方の操作に同じパッチベースラインを使用する。
Amazon Linux 2 マネージドノードに 2 つの異なるカテゴリのパッチをインストールするとします。メンテナンスウィンドウを使用して、これらのパッチを異なるスケジュールでインストールします。毎週 1 つのメンテナンスウィンドウを実行し、すべての Security パッチをインストールする必要があります。月に 1 回は、別のメンテナンスウィンドウを実行し、使用可能なすべてのパッチ、または Security 以外のカテゴリのパッチをインストールする必要があります。
ところが、オペレーティングシステムのデフォルトとして定義できるパッチベースラインは、一度に 1 つだけです。この要件は、あるパッチベースラインでパッチが承認され、別のパッチベースラインでパッチがブロックされる (これによって競合するバージョン間で問題が発生する) 状況を回避するために役立ちます。
次の方法では、同じパッチベースラインを使用しながら、InstallOverrideList パラメータを使用して、異なるスケジュールで異なるタイプのパッチをターゲットグループに適用します。
-
デフォルトのパッチベースラインで、
Security更新のみが指定されていることを確認します。 -
AWS-RunPatchBaselineまたはAWS-RunPatchBaselineAssociationを毎週実行するメンテナンスウィンドウを作成します。上書きリストは指定しないでください。 -
毎月適用するすべてのタイプのパッチの上書きリストを作成し、Amazon Simple Storage Service (Amazon S3) バケットに保存します。
-
1 か月に 1 回実行する 2 番目のメンテナンスウィンドウを作成します。ただし、このメンテナンスウィンドウで登録する Run Command タスクについては、上書きリストの場所を指定します。
その結果、デフォルトのパッチベースラインで定義されている Security パッチのみが毎週インストールされます。利用可能なすべてのパッチや、定義したパッチのサブセットがすべて、毎月インストールされます。
詳細とサンプルの一覧については、「パラメータ名: InstallOverrideList」を参照してください。
