タスク 1: タグを使用したパッチグループに EC2 インスタンスを追加するタスク 2: タグを使用してパッチグループに EC2 以外のマネージドノードを追加するタスク 3: パッチベースラインにパッチグループを追加します。

パッチグループの作成と管理

オペレーションでパッチポリシーを使用していない場合、タグを使用してマネージドノードをパッチグループに追加することで、パッチ適用作業を整理できます。

重要

パッチグループは、パッチポリシーに基づくパッチ適用オペレーションでは使用されません。パッチポリシーの使用の詳細については、「Quick Setup でのパッチポリシー設定」を参照してください。

パッチオペレーションでタグを使用するには、タグキー Patch Group または PatchGroup をマネージドノードに適用する必要があります。また、タグの値としてパッチグループに付ける名前を指定する必要があります。任意のタグ値を指定できますが、タグキーは Patch Group または PatchGroup とする必要があります。

EC2 インスタンスのメタデータでタグを許可している場合は、PatchGroup (スペースなし) を使用する必要があります。

タグを使用してマネージドノードをグループ化する場合、パッチグループの値をパッチベースラインに追加します。パッチグループをパッチベースラインに登録することで、パッチ適用の実行時に正しいパッチがインストールされます。パッチグループの詳細については、「パッチグループ」を参照してください。

このトピックのタスクを実行して、ノードとパッチベースラインのタグを使用してマネージドノードにパッチを適用できるように準備します。タスク 1 は、Amazon EC2 インスタンスにパッチ適用する場合にのみ必要です。タスク 2 は、ハイブリッドおよびマルチクラウド環境で EC2 以外のインスタンスにパッチを適用する場合にのみ必要です。タスク 3 は、すべてのマネージドノードで必要です。

ヒント

AWS CLI コマンド add-tags-to-resource または Systems Manager API オペレーション AddTagsToResource を使用してマネージドノードにタグを追加できます。

タスク 1: タグを使用したパッチグループに EC2 インスタンスを追加する

Systems Manager コンソールまたは Amazon EC2 コンソールを使用して、EC2 インスタンスにタグを追加できます。このタスクは、Amazon EC2 インスタンスにパッチ適用する場合にのみ必要です。

重要

インスタンスで [Allow tags in instance metadata] (インスタンスメタデータ内のタグを許可する) オプションを有効にした場合は、Amazon EC2 インスタンスに Patch Group タグ (スペースなし) を適用することはできません。インスタンスメタデータでタグを許可すると、タグキー名にスペースが含まれなくなります。EC2 インスタンスのメタデータでタグを許可している場合は、スペースなしでタグキー PatchGroup を使用する必要があります。

オプション 1: EC2 インスタンスをパッチグループに追加するには (Systems Manager コンソール)

AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。
ナビゲーションペインで、[Fleet Manager] を選択します。
[マネージドインスタンス] リストで、パッチを設定するマネージド EC2 インスタンスの ID を選択します。EC2 インスタンスのノード ID は i- で始まります。

注記
Amazon EC2 コンソールと AWS CLI を使用する場合、Systems Manager で使用するようにまだ設定されていないインスタンスに Key = Patch Group または Key = PatchGroup タグを適用できます。
表示されるはずのマネージドノードが表示されない場合は、トラブルシューティングのヒントについて「マネージドノードの可用性のトラブルシューティング」を参照してください。
[タグ] タブを選択し、[編集] を選択します。
左側の列に、Patch Group または PatchGroup を入力します。EC2 インスタンスのメタデータでタグを許可している場合は、スペースなしで PatchGroup を使用する必要があります。
右側の列に、パッチグループの名前として使用するタグ値を入力します。
[Save] を選択します。
この手順を繰り返して、同じパッチグループに他の EC2 インスタンスを追加します。

オプション 2: EC2 インスタンスをパッチグループに追加するには (Amazon EC2 コンソール)

Amazon EC2 コンソールを開き、ナビゲーションペインで [Instances (インスタンス)] を選択します。
インスタンスの一覧で、パッチ適用を設定するインスタンスを選択します。
[アクション] メニューから、[インスタンスの設定]、[タグの追加/編集] の順に選択します。
[新しいタグを追加] をクリックします。
[Key] (キー) で Patch Group または PatchGroup を入力します。EC2 インスタンスのメタデータでタグを許可している場合は、スペースなしで PatchGroup を使用する必要があります。
[値] に、パッチグループの名前として使用する値を入力します。
[Save] を選択します。
この手順を繰り返して、同じパッチグループ内の他のインスタンスを追加します。

タスク 2: タグを使用してパッチグループをマネージドノードに追加する

このトピックの手順に従って、AWS IoT Greengrass コアデバイスと EC2 以外のハイブリッドアクティベーションマネージドノード (mi-*) にタグを追加します。このタスクは、ハイブリッドおよびマルチクラウド環境で EC2 以外のインスタンスにパッチを適用する場合にのみ必要です。

注記

Amazon EC2 コンソールを使用して、非 EC2 マネージドノードにタグを追加することはできません。

EC2 以外のマネージドノードをパッチグループに追加するには (Systems Manager コンソール)

AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。
ナビゲーションペインで、[Fleet Manager] を選択します。
[マネージドノード] リストで、パッチ適用を設定するマネージドノードを選択します。

注記
表示されるはずのマネージドノードが表示されない場合は、トラブルシューティングのヒントについて「マネージドノードの可用性のトラブルシューティング」を参照してください。
[タグ] タブを選択し、[編集] を選択します。
左側の列に、Patch Group または PatchGroup を入力します。EC2 インスタンスのメタデータでタグを許可している場合は、スペースなしで PatchGroup を使用する必要があります。
右側の列に、パッチグループの名前として使用するタグ値を入力します。
[Save] を選択します。
この手順を繰り返して、同じパッチグループ内の他のマネージドノードを追加します。

タスク 3: パッチベースラインにパッチグループを追加します。

特定のパッチベースラインをマネージドノードと関連付ける場合は、パッチベースラインにパッチグループの値を追加する必要があります。パッチグループをパッチベースラインに登録することで、パッチ適用の実行時に正しいパッチがインストールされます。このタスクは、EC2 インスタンス、EC2 以外のマネージドノード、あるいはその両方にパッチを適用するかどうかにかかわらず必要です。

パッチグループの詳細については、「パッチグループ」を参照してください。

注記

実行する手順は、最初に Patch Manager にアクセスしたのが 2022 年 12 月 22 日のパッチポリシーのリリース前か後かによって異なります。

パッチグループをパッチベースラインに追加するには (System Manager コンソール)

AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。
ナビゲーションペインで、[Patch Manager] を選択します。
現在の AWS リージョンで Patch Manager ページに初めてアクセスし、Patch Manager 開始ページが開いた場合は、[概要から開始] を選択します。
[パッチベースライン] タブを選択し、[パッチベースライン] リストから、パッチグループに設定するパッチベースラインの名前を選択します。

パッチポリシーのリリース後まで最初に Patch Manager にアクセスしなかった場合は、作成したカスタムベースラインを選択する必要があります。
[ベースライン ID] 詳細ページに [アクション] メニューがある場合は、次の操作を行います。
- [Actions (アクション)] 、[Modify patch groups (パッチグループの変更)] の順に選択します。
- タスク 2: タグを使用してパッチグループをマネージドノードに追加するでマネージドノードに追加したタグの値を入力して、[追加] を選択します。
[ベースライン ID] 詳細ページに [アクション] メニューがない場合は、パッチグループはコンソールで設定できません。代わりに、以下のどちらかを実行できます。
- (推奨) AWS Systems Manager の能力である Quick Setup にパッチポリシーを設定し、パッチベースラインを 1 つ以上の EC2 インスタンスにマッピングします。
  
  詳細については、「Quick Setup パッチポリシーの使用」および「Quick Setup パッチポリシーを使用して組織全体のパッチ適用を自動化する」を参照してください。
- AWS Command Line Interface (AWS CLI) の register-patch-baseline-for-patch-group コマンドを使用して、パッチグループを設定します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

利用可能なパッチの表示

Patch Managerと AWS Security Hub の統合