Pré-requisitos da Patch Manager - AWS Systems Manager
Versão do SSM AgentVersão do PythonConectividade com a origem do patchAcesso do endpoint do S3Permissões para instalar patches localmenteSistemas operacionais compatíveis com o Patch Manager

Pré-requisitos da Patch Manager

Certifique-se de ter atendido aos pré-requisitos necessários antes de usar o Patch Manager, uma ferramenta do AWS Systems Manager.

Versão do SSM Agent

A versão 2.0.834.0 ou posterior do SSM Agent deve estar em execução nos nós gerenciados que você quiser gerenciar com o Patch Manager.

nota

Uma versão atualizada do SSM Agent é lançada sempre que novas ferramentas são adicionadas ao Systems Manager ou sempre que atualizações são feitas nas ferramentas existentes. Deixar de usar a versão mais recente do agente pode impedir que seu nó gerenciado use várias ferramentas do Systems Manager. Por isso, recomendamos automatizar o processo de manter o SSM Agent atualizado em suas máquinas. Para ter mais informações, consulte Automatizar atualizações do SSM Agent. Inscreva-se na página Notas de versão do SSM Agent no GitHub para receber notificações sobre atualizações do SSM Agent.

Versão do Python

Para o macOS e a maioria dos sistemas operacionais (SOs) Linux, o Patch Manager é atualmente compatível com o Python versões 2.6-3.10. O SOs AlmaLinux, Debian Server, Raspberry Pi OS e Ubuntu Server exigem uma versão compatível do Python 3 (3.0-3.10).

Conectividade com a origem do patch

Se os nós gerenciados não tiverem uma conexão direta com a Internet e você estiver usando uma Amazon Virtual Private Cloud (Amazon VPC) com um endpoint da VPC, verifique se os nós têm acesso aos repositórios de patch de origem (repositórios). Em nós do Linux, as atualizações de patches normalmente são baixadas dos repositórios remotos configurados em seu nó. Portanto, o nó deve conseguir se conectar aos repositórios para que a aplicação do patch seja realizada. Para ter mais informações, consulte Como os patches de segurança são selecionados.

CentOS e CentOS Stream: habilite a sinalização EnableNonSecurity

Os nós gerenciados do CentOS 6 e 7 usam o Yum como gerenciador de pacotes. Os nós do CentOS 8 e CentOS Stream usam o DNF como gerenciador de pacotes. Ambos os gerenciadores de pacotes usam o conceito de um aviso de atualização. Uma notificação de atualização é um conjunto de pacotes que corrige problemas específicos.

No entanto, os repositórios padrão do CentOS e CentOS Stream não são configurados com um aviso de atualização. Isso significa que o Patch Manager não detecta pacotes em repositórios padrão do CentOS e CentOS Stream. Para permitir que o Patch Manager processe pacotes que não estão contidos em um aviso de atualização, você deve ativar o sinalizador EnableNonSecurity nas regras da lista de referência de patches.

Windows Server: garanta a conectividade ao Windows Update Catalog ou ao Windows Server Update Services (WSUS)

Os nós gerenciados do Windows Server devem se conectar ao Windows Update Catalog ou ao Windows Server Update Services (WSUS). Confirme se os nós têm conectividade com o Catálogo de atualizações da Microsoft por meio de um gateway da Internet, um gateway de NAT ou uma instância NAT. Se você estiver usando o WSUS, confirme se o nó tem conectividade com o servidor WSUS em seu ambiente. Para ter mais informações, consulte Problema: o nó gerenciado não tem acesso ao Catálogo do Windows Update ou ao WSUS.

Acesso do endpoint do S3

Se os nós gerenciados operam em uma rede privada ou pública, sem acesso aos buckets do Amazon Simple Storage Service (Amazon S3) gerenciados pela AWS, as operações de aplicação de patches falham. Para obter informações sobre os buckets do S3 que os nós gerenciados devem poder acessar, consulte Comunicações do SSM Agent com os buckets do S3 gerenciados pela AWS e Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager.

Permissões para instalar patches localmente

Nos sistemas operacionais Windows Server e Linux, o Patch Manager assume as contas de administrador e usuário-raiz, respectivamente, para instalar os patches.

No entanto, para Brew e Brew Cask no macOS, o Homebrew não oferece suporte à execução de seus comandos sob o usuário-raiz. Como resultado, o Patch Manager consulta e executa comandos Homebrew como o proprietário do diretório Homebrew ou como um usuário válido pertencente ao grupo de proprietários do diretório Homebrew. Portanto, para instalar os patches, o proprietário do diretório homebrew também precisa de permissões recursivas para o diretório /usr/local.

dica

O comando a seguir fornece essa permissão para o usuário especificado:

sudo chown -R $USER:admin /usr/local

Sistemas operacionais compatíveis com o Patch Manager

A ferramenta Patch Manager não é compatível com todas as versões de sistemas operacionais que são compatíveis com outras ferramentas do Systems Manager. Por exemplo, o Patch Manager não oferece suporte para CentOS 6.3 ou Raspberry Pi OS 8 (Jessie). (Para obter a lista completa de sistemas operacionais compatíveis com o Systems Manager, consulte Sistemas operacionais compatíveis com o Systems Manager.) Portanto, verifique se os nós gerenciados utilizados com o Patch Manager estão executando um dos sistemas operacionais listados na tabela a seguir.

nota

O Patch Manager depende dos repositórios de patches configurados em um nó gerenciado, como o Catálogo do Windows Update e o Windows Server Update Services para Windows, para recuperar os patches disponíveis para instalação. Portanto, para versões de sistema operacional de fim de vida útil (EOL), se nenhuma nova atualização estiver disponível, o Patch Manager talvez não consiga relatar as novas atualizações. Isso pode ocorrer porque nenhuma nova atualização foi lançada pelo mantenedor da distribuição Linux, pela Microsoft ou pela Apple, ou porque o nó gerenciado não tem a licença adequada para acessar as novas atualizações.

O Patch Manager relata o status de conformidade em relação aos patches disponíveis no nó gerenciado. Portanto, se uma instância estiver executando um sistema operacional em EOL e nenhuma atualização estiver disponível, o Patch Manager poderá relatar o nó como Em conformidade, dependendo das linhas de referência do patch configuradas para a operação de patch.

Sistema operacional Detalhes

Linux

  • AlmaLinux 8.x, 9.x

  • Amazon Linux 2012.03-2018.03

  • Amazon Linux 2 versão 2.0 e todas as versões posteriores

  • Amazon Linux 2022

  • Amazon Linux 2023

  • CentOS 6.5 – 7.9, 8.x

  • CentOS Stream 8, 9

  • Debian Server 8.x, 9.x, 10.x, 11.x e 12.x

  • Oracle Linux 7.5 – 8.x, 9.x

  • Raspberry Pi OS (antigo Raspbian) 9 (Stretch)

  • Red Hat Enterprise Linux (RHEL) 6.5 – 8.x, 9.x

  • Rocky Linux 8.x, 9.x

  • SUSE Linux Enterprise Server (SLES) 12.0 e versões 12.x posteriores; 15.x

  • Ubuntu Server 14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 20.10 STR, 22.04 LTS, 23.04, 23.10, 24.04 e 24.10
macOS

O macOS é compatível somente com instâncias do Amazon EC2.

11.3.1; 11.4-11.7 (Big Sur)

12.0 – 12.7 (Monterey)

13.0 – 13.7 (Ventura)

14.x (Sonoma)

15.x (Sequoia)

macOS atualizações do sistema operacional

O Patch Manager não oferece suporte a atualizações ou upgrades do sistema operacional (SO) macOS, como do 12.x para 13.x ou 13.1 para 13.2. Para realizar atualizações de versão do sistema operacional macOS, recomendamos usar os mecanismos integrados de atualização do sistema operacional da Apple. Para obter mais informações, consulte Gerenciamento de dispositivos no site da Apple Developer Documentation.

Suporte do Homebrew

O sistema de gerenciamento de pacotes de software de código aberto Homebrew descontinuou o suporte para macOS 10.14.x (Mojave) e 10.15.x (Catalina). Como resultado, não há suporte para as operações de aplicação de patches nessas versões atualmente.

Suporte de região

Não há suporte para macOS em todas as Regiões da AWS. Para obter mais informações sobre o suporte a instâncias do EC2 para macOS, consulte Instâncias Mac do Amazon EC2 no Guia do usuário do Amazon EC2.

macOS dispositivos de borda

O SSM Agent para dispositivos principais do AWS IoT Greengrass não é compatível com o macOS. Você não pode usar o Patch Manager para aplicar patches aos dispositivos de borda do macOS.

Windows

Windows Server 2008 a Windows Server 2025, incluindo versões R2.

nota

O SSM Agent para dispositivos principais do AWS IoT Greengrass não é compatível com o Windows 10. Você não pode usar o Patch Manager para aplicar patches aos dispositivos de borda do Windows 10.

Suporte de 2008 do Windows Server

A partir de 14 de janeiro de 2020, o Windows Server 2008 não é mais compatível para obter recursos ou atualizações de segurança da Microsoft. As Amazon Machine Images (AMIs) herdadas para Windows Server 2008 e 2008 R2 ainda incluem a versão 2 do SSM Agent pré-instalada, mas o Systems Manager não é oficialmente compatível com as versões 2008 e não atualiza mais o agente para essas versões do Windows Server. Além disso, o SSM Agent versão 3 pode não ser compatível com todas as operações no Windows Server 2008 e 2008 R2. A versão final do SSM Agent oficialmente compatível com as versões 2008 do Windows Server é a 2.3.1644.0.

Suporte ao Windows Server 2012 e 2012 R2

O Windows Server 2012 e 2012 R2 atingiram o fim do suporte em 10 de outubro de 2023. Para usar o Patch Manager com essas versões, recomendamos também usar as Extended Security Updates (ESUs) da Microsoft. Para obter mais informações, consulte Fim do suporte ao Windows Server 2012 e 2012 R2 no site da Microsoft.