Grupos de patches

Importante

Os grupos de patches não são usados em operações de aplicação de patches em políticas de patch. Para obter informações sobre como trabalhar com políticas de patch, consulte Configurações de políticas de patches em Quick Setup.

Você pode usar um grupo de patches para associar os nós gerenciados a uma lista de referência de patches específica no Patch Manager, um recurso do AWS Systems Manager. Grupos de patches ajudam a garantir que você esteja implantando os patches apropriados, com base nas regras de lista de referência de patches associadas, para corrigir o conjunto de nós. Grupos de patches também podem ajudar você a evitar a implantação de patches antes que eles tenham sido adequadamente testados. Por exemplo, você pode criar grupos de patches para diferentes ambientes (como Desenvolvimento, Teste e Produção) e registrar cada grupo de patches em uma linha de base de patch apropriada.

Ao executar o AWS-RunPatchBaseline, você pode direcionar os nós gerenciados usando o ID ou as etiquetas do nó. Em seguida, o SSM Agent e o Patch Manager avaliam qual lista de referência de patches deve ser usada, com base no valor do grupo de patches que você adicionou ao nó gerenciado.

Você cria um grupo de patches usando tags do Amazon Elastic Compute Cloud (Amazon EC2). Ao contrário de outros cenários de marcação no Systems Manager, um grupo de patches precisa ser definido com a chave de tag Patch Group ou PatchGroup. Observe que a chave faz distinção entre maiúsculas e minúsculas. Você pode especificar qualquer valor para ajudar você a identificar e direcionar os recursos desse grupo, por exemplo, “servidores web” ou “US-EAST-PROD”, mas a chave deve ser Patch Group ou PatchGroup.

Depois de criar um grupo de patches e marcar os nós gerenciados, você poderá registrar o grupo de patches com uma lista de referência de patches. Registrar o grupo de patches em uma lista de referência de patches garante que os nós nesse grupo usem as regras definidas na lista de referência de patches associada.

Para obter mais informações sobre como criar um grupo de patches e associá-lo a uma lista de referência dos patches, consulte Como criar e gerenciar grupos de patches e Adicionar um grupo de patches a uma lista de referência de patches.

Para visualizar um exemplo de como criar uma lista de referência de patches e grupos de patches usando a AWS Command Line Interface (AWS CLI), consulte Tutorial: Aplicar patches a um ambiente de servidor usando a AWS CLI. Para obter mais informações, consulte Marcar recursos do Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux.

Como funciona

Quando o sistema executar a tarefa para aplicar uma lista de referência de patches a um nó gerenciado, o SSM Agent verificará se um grupo de patches está definido para esse nó. Se o nó estiver atribuído a um grupo de patches, o Patch Manager verificará se a lista de referência de patches está registrada nesse grupo. Se uma lista de referência de patches for encontrada para esse grupo, o Patch Manager notificará o SSM Agent para usar a lista de referência de patches associada. Se um nó não estiver configurado para um grupo de patches, o Patch Manager notificará automaticamente o SSM Agent para usar a lista de referência de patches padrão atualmente configurada.

Importante

Um nó gerenciado só pode estar em um grupo de patches.

Um grupo de patches pode ser registrado em somente uma linha de base de patch para cada tipo de sistema operacional.

Não é possível aplicar a tag Patch Group (com um espaço) a uma instância do Amazon EC2 se a opção Allow tags in instance metadata (Permitir tags em metadados de instância) estiver habilitada na instância. Permitir tags em metadados de instância impede que nomes de chaves de tag contenham espaços. Se você tiver permissão para tags nos metadados da instância do EC2, é necessário usar a chave de tag PatchGroup (sem um espaço).

O diagrama a seguir mostra um exemplo geral dos processos que o Systems Manager realiza ao enviar uma tarefa do Run Command à sua frota de servidores para aplicar patches usando o Patch Manager. Um processo semelhante é usado quando uma janela de manutenção estiver configurada para enviar um comando para aplicar patches usando o Patch Manager.

Neste exemplo, temos três grupos de instâncias do EC2 para Windows Server, com as seguintes tags aplicadas:

Grupo de instâncias do EC2 Tags

Grupo de instâncias do EC2	Tags
Grupo 1	`key=OS,value=Windows` `key=PatchGroup,value=DEV`
Grupo 2	`key=OS,value=Windows`
Grupo 3	`key=OS,value=Windows` `key=PatchGroup,value=QA`

Grupo 1

key=OS,value=Windows

key=PatchGroup,value=DEV

Grupo 2

key=OS,value=Windows

Grupo 3

key=OS,value=Windows

key=PatchGroup,value=QA

Para este exemplo, também temos essas duas listas de referência de patches do Windows Server:

ID da linha de base do patch	Padrão	Grupo de patches associado
`pb-0123456789abcdef0`	Sim	`Default`
`pb-9876543210abcdef0`	Não	`DEV`

Diagrama 1: exemplo geral do fluxo de processos de operações da aplicação de patches

O diagrama a seguir mostra como o Patch Manager determina quais listas de referência de patches usar nas operações de aplicação de patch.

Diagrama que mostra como linhas de base de patch são determinadas ao realizar operações de aplicação de patch.

O processo geral para verificar ou instalar patches usando o Run Command, um recurso do AWS Systems Manager, e o Patch Manager é o seguinte:

Enviar um comando para patch: use o console do Systems Manager, o SDK, a AWS Command Line Interface (AWS CLI) ou o AWS Tools for Windows PowerShell para enviar uma tarefa de Run Command usando o documento AWS-RunPatchBaseline. O diagrama mostra uma tarefa de Run Command para aplicar patch a instâncias gerenciadas especificando a etiqueta key=OS,value=Windows.
Determinação da lista de referência de patches: o SSM Agent verifica as etiquetas de grupo de patches aplicadas à instância do EC2 e consulta o Patch Manager em busca da lista de referência de patches correspondente.
- Valor de grupo de patches correspondente associado à linha de base de patch:
  1. O SSM Agent, que está instalado em instâncias do EC2 no grupo 1, recebe o comando emitido na Etapa 1 para iniciar uma operação de aplicação de patch. O SSM Agent valida se as instâncias do EC2 têm o valor de tag DEV aplicado ao grupo de patches e consulta o Patch Manager em busca de uma linha de base de patch associada.
  2. O Patch Manager verifica se a linha de base do patch pb-9876543210abcdef0 tem o grupo de patches DEV associado e notifica o SSM Agent.
  3. O SSM Agent recupera um snapshot de linha de base de patch do Patch Manager com base nas regras de aprovação e nas exceções configuradas em pb-9876543210abcdef0 e prossegue para a próxima etapa.
- Nenhuma tag de grupo de patches adicionada à instância:
  1. O SSM Agent, que está instalado em instâncias do EC2 no grupo 2, recebe o comando emitido na Etapa 1 para iniciar uma operação de aplicação de patch. O SSM Agent valida se as instâncias do EC2 não têm uma tag Patch Group ou PatchGroup aplicada e, como resultado, o SSM Agent consulta o Patch Manager em busca da lista de referência de patches do Windows.
  2. O Patch Manager verifica se a lista de referência de patches padrão do Windows Server é pb-0123456789abcdef0 e notifica o SSM Agent.
  3. O SSM Agent recupera um snapshot de linha de base de patch do Patch Manager com base nas regras de aprovação e nas exceções configuradas na linha de base de patch padrão pb-0123456789abcdef0 e prossegue para a próxima etapa.
- Nenhum valor de grupo de patches correspondente associado a uma linha de base de patch:
  1. O SSM Agent, que está instalado nas instâncias do EC2 no grupo 3, recebe o comando emitido na Etapa 1 para iniciar uma operação de aplicação de patch. O SSM Agent valida se as instâncias do EC2 têm o valor de tag QA aplicado ao grupo de patches e consulta o Patch Manager em busca de uma linha de base de patch associada.
  2. O Patch Manager não encontra uma linha de base do patch que tenha o grupo de patches QA associado.
  3. O Patch Manager notifica o SSM Agent para usar a linha de base de patch padrão do Windows, pb-0123456789abcdef0.
  4. O SSM Agent recupera um snapshot de linha de base de patch do Patch Manager com base nas regras de aprovação e nas exceções configuradas na linha de base de patch padrão pb-0123456789abcdef0 e prossegue para a próxima etapa.
Verificação ou instalação de patches: depois de determinar a linha de base de patch apropriada para uso, o SSM Agent começa a sondar ou instalar patches com base no valor de operação especificado na Etapa 1. Os patches sondados ou instalados são determinados pelas regras de aprovação e pelas exceções de patches definidas no snapshot de lista de referência de patches fornecido pelo Patch Manager.

Mais informações

Valores de estados de conformidade de patches

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Sobre formatos de nomes de pacotes para listas de patches aprovados e rejeitados

Aplicações de patches lançadAs pela Microsoft no Windows Server