AWS Systems Manager Patch Manager
O Patch Manager, um recurso do AWS Systems Manager, automatiza o processo de aplicação de patches aos nós gerenciados com atualizações de relativas a segurança e outros tipos de atualizações.
Importante
Desde 22 de dezembro de 2022, o Systems Manager fornece suporte a políticas de patch em Quick Setup, uma capacidade do AWS Systems Manager. O uso de políticas de patch é o método recomendado para configurar suas operações de patches. Usando uma única configuração de política de patch, é possível definir a aplicação de patches para todas as contas em todas as regiões da sua organização, somente para as contas e regiões que você escolher, ou para um único par de conta-região. Para ter mais informações, consulte Configurações de políticas de patches em Quick Setup.
Você pode usar o Patch Manager para aplicar patches em sistemas operacionais e aplicações. (No Windows Server, o suporte a aplicações é limitado a atualizações de aplicações da Microsoft.) É possível usar o Patch Manager para instalar os Service Packs em nós do Windows e executar atualizações de versões secundárias em nós do Linux. Você pode aplicar patches a frotas de instâncias do Amazon Elastic Compute Cloud (Amazon EC2), a dispositivos de borda, a servidores on-premises e a máquinas virtuais (VMs) por tipo de sistema operacional. Isso inclui versões com suporte de vários sistemas operacionais, conforme listado em Pré-requisitos da Patch Manager. Você pode verificar instâncias para visualizar somente um relatório de patches ausentes ou verificar e instalar automaticamente todos os patches ausentes. Para começar a usar o Patch Manager, abra o Systems Manager console
nota
A AWS não faz testes de patches antes de disponibilizá-los no Patch Manager. Além disso, o Patch Manager não oferece suporte à atualização das principais versões de sistemas operacionais, como Windows Server 2016 a Windows Server 2019 ou SUSE Linux Enterprise Server (SLES) 12.0 para SLES 15.0.
Para tipos de sistema operacional baseados em Linux que relatem um nível de gravidade para patches, o Patch Manager usa o nível de gravidade relatado pelo editor do software para o aviso de atualização ou patch individual. O Patch Manager não deriva níveis de gravidade de fontes de terceiros, como o Sistema comum de pontuação de vulnerabilidades
Linhas de base de patch
O Patch Manager usa listas de referência de patches, que incluem regras para a aprovação automática de patches poucos dias após seus lançamentos, bem como listas opcionais de patches aprovados e rejeitados. Quando uma operação de aplicação de patches é executada, o Patch Manager compara os patches atualmente aplicados a um nó gerenciado com aqueles que devem ser aplicados de acordo com as regras definidas na lista de referência de patches. É possível optar para que o Patch Manager mostre somente um relatório de patches que estejam faltando (uma operação Scan
) ou que o Patch Manager instale automaticamente todos os patches que descobrir estarem faltando em um nó gerenciado (uma operação Scan and install
).
Métodos de operação de aplicação de patches
O Patch Manager atualmente oferece quatro métodos para a execução das operações Scan
e Scan
and install
:
-
(Recomendado) Uma política de patch configurada em Quick Setup: com base na integração com o AWS Organizations, uma única política de patch pode definir programações de aplicação de patches e listas de referência de patches para uma organização inteira, incluindo várias Contas da AWS e todas as Regiões da AWS em que essas contas operem. Uma política de patch também pode ter como destino somente algumas unidades organizacionais (UOs) em uma organização. É possível usar uma única política de patch para verificar e instalar em horários diferentes. Para ter mais informações, consulte Configurar patches para instâncias em uma organização usando a Quick Setup e Configurações de políticas de patches em Quick Setup.
-
Uma opção do Host Management configurada em Quick Setup: também há suporte para as configurações do Host Management na integração com o AWS Organizations, possibilitando a execução de uma operação de aplicação de patches até para uma organização inteira. No entanto, essa opção se limita à verificação de patches ausentes usando a lista de referência de patches atual padrão e ao fornecimento de resultados em relatórios de conformidade. Esse método de operação não pode instalar patches. Para ter mais informações, consulte Configurar o gerenciamento de host do Amazon EC2 usando a Quick Setup.
-
Uma janela de manutenção para executar uma tarefa de
Scan
ouInstall
patches: uma janela de manutenção, que você configura no recurso do Systems Manager chamado Maintenance Windows, pode ser configurada para executar diferentes tipos de tarefas em uma programação definida por você. Uma tarefa do tipo Run Command pode ser usada para executar tarefasScan
ouScan and install
em um conjunto de nós gerenciados que você escolher. Cada tarefa da janela de manutenção pode ter como destino os nós gerenciados em apenas um único par Conta da AWS-Região da AWS. Para ter mais informações, consulte Tutorial: Create a maintenance window for patching using the console. -
Uma operação Aplicar patch agora sob demanda em Patch Manager: a opção Aplicar patch agora permite que você ignore as configurações de programação quando você precisar corrigir os nós gerenciados o mais rápido possível. Usando Patch now (Aplicar patch agora), você especifica se deseja executar a operação
Scan
ouScan and install
e em quais nós gerenciados executar a operação. Você também pode optar por executar documentos do Systems Manager (documentos SSM) como ganchos do ciclo de vida durante a operação de aplicação de patches. Cada operação Patch Now (Aplicar patch agora) pode atingir nós gerenciados em apenas um único par Conta da AWS-Região da AWS. Para ter mais informações, consulte Aplicação de patches em nós gerenciados sob demanda.
Relatórios de conformidade
Depois de uma operação Scan
, é possível usar o console do Systems Manager para visualizar informações sobre quais dos seus nós gerenciados estão fora de conformidade com o patch e quais patches estão faltando em cada um desses nós. Você também pode gerar relatórios de conformidade de patches no formato .csv que serão enviados a um bucket do Amazon Simple Storage Service (Amazon S3) de sua escolha. Você pode gerar relatórios únicos ou gerar relatórios em uma programação regular. Para um único nó gerenciado, os relatórios incluem detalhes de todos os patches para o nó. Para obter um relatório sobre todas os nós gerenciados, apenas um resumo de quantos patches estão ausentes é fornecido. Depois que um relatório é gerado, você pode usar uma ferramenta, como o Amazon QuickSight, para importar e analisar os dados. Para ter mais informações, consulte Trabalhando com relatórios de conformidade de patch.
nota
Um item de conformidade gerado por meio do uso de uma política de patch tem um tipo de execução de PatchPolicy
. Um item de conformidade não gerado em uma operação de política de patch tem um tipo de execução de Command
.
Integrações
O Patch Manager se integra com os outros seguintes Serviços da AWS:
-
AWS Identity and Access Management (IAM): use o IAM para controlar quais usuários, grupos e funções têm acesso às operações do Patch Manager. Para obter mais informações, consulte Como o AWS Systems Manager funciona com o IAM e Configurar permissões de instância obrigatórias para o Systems Manager.
-
AWS CloudTrail: use o CloudTrail para registrar um histórico auditável de eventos de operação de aplicação de patches iniciados por usuários, perfis ou grupos. Para ter mais informações, consulte Registrar em log chamadas de API do AWS Systems Manager com o AWS CloudTrail.
-
AWS Security Hub: dados de conformidade de patches do Patch Manager pode ser enviado para o AWS Security Hub. O Security Hub oferece uma visão abrangente dos alertas de segurança de alta prioridade e do status de conformidade. Também monitora o estado de aplicação de patches da sua frota. Para ter mais informações, consulte Integrar o Patch Manager ao AWS Security Hub.
-
AWS Config: configure a gravação no AWS Config para visualizar os dados de gerenciamento de instâncias do Amazon EC2 no painel do Patch Manager. Para ter mais informações, consulte Visualizar resumos do painel de patches.
Tópicos
- Configurações de políticas de patches em Quick Setup
- Pré-requisitos da Patch Manager
- Como operações do Patch Manager funcionam
- Documentos do comando do SSM para aplicação de patches em nós gerenciados
- Linhas de base de patch
- Usar o Kernel Live Patching em nós gerenciados do Amazon Linux 2
- Trabalhar com recursos e conformidade do Patch Manager usando o console
- Trabalhar com recursos do Patch Manager usando a AWS CLI
- Tutoriais do AWS Systems Manager Patch Manager
- Solução de problemas de Patch Manager