Pré-requisitos da Patch Manager - AWS Systems Manager
Versão do SSM AgentVersão do PythonConectividade com a origem do patchAcesso do endpoint do S3Sistemas operacionais compatíveis com o Patch Manager

Pré-requisitos da Patch Manager

Certifique-se de ter atendido aos pré-requisitos necessários antes de usar Patch Manager, um recurso do AWS Systems Manager.

Versão do SSM Agent

A versão 2.0.834.0 ou posterior do SSM Agent deve estar em execução nos nós gerenciados que você quiser gerenciar com o Patch Manager.

nota

Uma versão atualizada do SSM Agent é lançada sempre que novos recursos são adicionados ao Systems Manager ou sempre que atualizações forem feitas nos recursos existentes. Deixar de usar a versão mais recente do agente pode impedir que seu nó gerenciado use vários recursos do Systems Manager. Por isso, recomendamos automatizar o processo de manter o SSM Agent atualizado em suas máquinas. Para ter mais informações, consulte Automatizar atualizações do SSM Agent. Inscreva-se na página Notas de versão do SSM Agent no GitHub para receber notificações sobre atualizações do SSM Agent.

Versão do Python

Para o macOS e a maioria dos sistemas operacionais (SOs) Linux, o Patch Manager é atualmente compatível com o Python versões 2.6-3.10. O SOs AlmaLinux, Debian Server, Raspberry Pi OS e Ubuntu Server exigem uma versão compatível do Python 3 (3.0-3.10).

Conectividade com a origem do patch

Se os nós gerenciados não tiverem uma conexão direta com a Internet e você estiver usando uma Amazon Virtual Private Cloud (Amazon VPC) com um endpoint da VPC, verifique se os nós têm acesso aos repositórios de patch de origem (repositórios). Em nós do Linux, as atualizações de patches normalmente são baixadas dos repositórios remotos configurados em seu nó. Portanto, o nó deve conseguir se conectar aos repositórios para que a aplicação do patch seja realizada. Para ter mais informações, consulte Como os patches de segurança são selecionados.

Os nós gerenciados do Windows Server devem se conectar ao Windows Update Catalog ou ao Windows Server Update Services (WSUS). Confirme se os nós têm conectividade com o Catálogo de atualizações da Microsoft por meio de um gateway da Internet, um gateway de NAT ou uma instância NAT. Se você estiver usando o WSUS, confirme se o nó tem conectividade com o servidor WSUS em seu ambiente. Para ter mais informações, consulte Problema: o nó gerenciado não tem acesso ao Catálogo do Windows Update ou ao WSUS.

Acesso do endpoint do S3

Se os nós gerenciados operam em uma rede privada ou pública, sem acesso aos buckets do Amazon Simple Storage Service (Amazon S3) gerenciados pela AWS, as operações de aplicação de patches falham. Para obter informações sobre os buckets do S3 que os nós gerenciados devem poder acessar, consulte Comunicações do SSM Agent com os buckets do S3 gerenciados pela AWS e Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager.

Sistemas operacionais compatíveis com o Patch Manager

O recurso Patch Manager não é compatível com todas as versões de sistemas operacionais que são compatíveis por outras funcionalidades do Systems Manager. Por exemplo, o Patch Manager não oferece suporte para CentOS 6.3 ou Raspberry Pi OS 8 (Jessie). (Para obter a lista completa de sistemas operacionais compatíveis com o Systems Manager, consulte Sistemas operacionais compatíveis com o Systems Manager.) Portanto, verifique se os nós gerenciados utilizados com o Patch Manager estão executando um dos sistemas operacionais listados na tabela a seguir.

nota

O Patch Manager depende dos repositórios de patches configurados em um nó gerenciado, como o Catálogo do Windows Update e o Windows Server Update Services para Windows, para recuperar os patches disponíveis para instalação. Portanto, para versões de sistema operacional de fim de vida útil (EOL), se nenhuma nova atualização estiver disponível, o Patch Manager talvez não consiga relatar as novas atualizações. Isso pode ocorrer porque nenhuma nova atualização foi lançada pelo mantenedor da distribuição Linux, pela Microsoft ou pela Apple, ou porque o nó gerenciado não tem a licença adequada para acessar as novas atualizações.

O Patch Manager relata o status de conformidade em relação aos patches disponíveis no nó gerenciado. Portanto, se uma instância estiver executando um sistema operacional em EOL e nenhuma atualização estiver disponível, o Patch Manager poderá relatar o nó como Em conformidade, dependendo das linhas de referência do patch configuradas para a operação de patch.

Sistema operacional Detalhes

Linux

  • AlmaLinux 8.3–8.7, 9.0–9.2

  • Amazon Linux 2012.03-2018.03

  • Amazon Linux 2 versão 2.0 e todas as versões posteriores

  • Amazon Linux 2022

  • Amazon Linux 2023

  • CentOS 6.5-7.9, 8.0-8.5

  • CentOS Stream 8

  • Debian Server 8.x, 9.x, 10.x, 11.x e 12.x

  • Oracle Linux 7.5-8.7, 9.0-9.2

  • Raspberry Pi OS (antigo Raspbian) 9 (Stretch)

  • Red Hat Enterprise Linux (RHEL) 6.5-8.9, 9.0-9.3

  • Rocky Linux 8.4-8.7, 9.0-9.2

  • SUSE Linux Enterprise Server (SLES) 12.0 e versões posteriores a 12.x; 15.0 - 15.5

  • Ubuntu Server 14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 20.10 STR, 22.04 LTS e 23.04
macOS

11.3.1; 11.4-11.7 (Big Sur)

12.0–12.6 (Monterey)

13.0–13.5 (Ventura)

14.0 (Sonoma)

macOS atualizações do sistema operacional

Patch Manager não oferece suporte a atualizações ou upgrades do sistema operacional (SO) macOS, como de 12.x para 13.x ou 13.1 para 13.2. Para realizar atualizações de versão do sistema operacional macOS, recomendamos usar os mecanismos integrados de atualização do sistema operacional da Apple. Para obter mais informações, consulte Gerenciamento de dispositivos no site da Apple Developer Documentation.

Suporte do Homebrew

O sistema de gerenciamento de pacotes de software de código aberto Homebrew descontinuou o suporte para macOS 10.14.x (Mojave) e 10.15.x (Catalina). Como resultado, não há suporte para as operações de aplicação de patches nessas versões atualmente.

Suporte de região

Não há suporte para macOS em todas as Regiões da AWS. Para obter mais informações sobre o suporte a instâncias do EC2 para macOS, consulte Instâncias Mac do Amazon EC2 no Guia do usuário do Amazon EC2.

macOS dispositivos de borda

O SSM Agent para dispositivos principais do AWS IoT Greengrass não é compatível com o macOS. Você não pode usar o Patch Manager para aplicar patches aos dispositivos de borda do macOS.

Windows

Windows Server 2008 a Windows Server 2022, incluindo versões R2.

nota

O SSM Agent para dispositivos principais do AWS IoT Greengrass não é compatível com o Windows 10. Você não pode usar o Patch Manager para aplicar patches aos dispositivos de borda do Windows 10.

Sobre o suporte ao Windows Server 2008

A partir de 14 de janeiro de 2020, o Windows Server 2008 não é mais compatível para obter recursos ou atualizações de segurança da Microsoft. As Amazon Machine Images (AMIs) herdadas para Windows Server 2008 e 2008 R2 ainda incluem a versão 2 do SSM Agent pré-instalada, mas o Systems Manager não é oficialmente compatível com as versões 2008 e não atualiza mais o agente para essas versões do Windows Server. Além disso, o SSM Agent versão 3 pode não ser compatível com todas as operações no Windows Server 2008 e 2008 R2. A versão final do SSM Agent oficialmente compatível com as versões 2008 do Windows Server é a 2.3.1644.0.

Sobre o suporte ao Windows Server 2012 e 2012 R2

O Windows Server 2012 e 2012 R2 atingiram o fim do suporte em 10 de outubro de 2023. Para usar o Patch Manager com essas versões, recomendamos também usar as Extended Security Updates (ESUs) da Microsoft. Para obter mais informações, consulte Fim do suporte ao Windows Server 2012 e 2012 R2 no site da Microsoft.