在 AWS-RunPatchBaseline 或 AWS-RunPatchBaselineAssociation 中使用 InstallOverrideList 参数的示例场景 - AWS Systems Manager

AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation 中使用 InstallOverrideList 参数的示例场景

当您要在 Patch Manager ( AWS Systems Manager 的一个功能)中覆盖由当前默认补丁基准指定的补丁时,可以使用 InstallOverrideList 参数。本主题提供示例说明如何使用此参数来实现以下目标:

  • 将不同的补丁集应用于托管式节点目标组。

  • 以不同频率应用这些补丁集。

  • 对这两个操作使用相同的补丁基准。

假设您要在 Amazon Linux 2 托管式节点上安装两种不同类别的补丁。您希望使用维护时段按不同的计划安装这些补丁。您希望每周运行一个维护时段并安装所有 Security 补丁。您希望另一个维护时段每月运行一次,并安装所有可用的补丁或 Security 之外类别的补丁。

但是,一次只能将一个补丁基准定义为操作系统的默认值。此要求有助于避免一个补丁基准批准补丁而另一个补丁阻止补丁的情况,这种情况可能导致相互冲突的版本之间出现问题。

以下策略允许您使用 InstallOverrideList 参数按照不同的计划将不同类型的补丁应用到目标组,同时仍使用相同的补丁基准。

  1. 在默认补丁基准中,确保仅指定 Security 更新。

  2. 创建每周运行 AWS-RunPatchBaselineAWS-RunPatchBaselineAssociation 的维护时段。不要指定覆盖列表。

  3. 创建要每月应用的所有类型的补丁的覆盖列表,并将其存储在 Amazon Simple Storage Service (Amazon S3) 存储桶中。

  4. 创建每月运行一次的第二个维护时段。但是,对于您为此维护时段注册的 Run Command 任务,请指定覆盖列表的位置。

结果:每周只安装在默认补丁基准中定义的 Security 补丁。每月都会安装所有可用的补丁或您定义的任何补丁子集。

有关更多信息和示例列表,请参阅 参数名称: InstallOverrideList