Patch Manager 先决条件 - AWS Systems Manager

Patch Manager 先决条件

使用 Patch Manager ( AWS Systems Manager 的一个功能)之前,请确保您已满足必需的先决条件。

SSM Agent 版本

SSM Agent 版本 2.0.834.0 或更高版本在要用 Patch Manager 管理的托管式节点上运行。

注意

如果有新功能添加至 Systems Manager 或者对现有功能进行了更新,则将发布 SSM Agent 的更新版本。不能使用代理的最新版本可能会阻止托管式节点使用各种 Systems Manager 功能和特性。因此,我们建议您自动完成确保机器上的 SSM Agent 为最新的过程。有关更多信息,请参阅 自动更新到 SSM Agent。要获得有关 SSM Agent 更新的通知,请在 GitHub 上订阅 SSM Agent 发布说明页面。

Python 版本

对于 macOS 以及大多数 Linux 操作系统(OS),Patch Manager 目前支持 Python 版本 2.6 - 3.10。AlmaLinux、Debian Server、Raspberry Pi OS 和 Ubuntu Server 操作系统需要使用受支持版本的 Python 3(3.0 - 3.10)。

与补丁源的连接

如果您的托管式节点没有直接连接到互联网,并且您正在通过某个 VPC 端点使用 Amazon Virtual Private Cloud(Amazon VPC),则必须确保这些节点能够访问源补丁存储库(存储库)。在 Linux 节点上,通常是从节点上配置的远程存储库下载补丁更新。因此,节点必须能够连接到远程存储库,才能执行修补。有关更多信息,请参阅 如何选择安全性补丁

CentOS 和 CentOS Stream:启用 EnableNonSecurity 标志

CentOS 6 和 7 托管式节点将 Yum 用作软件包管理器。CentOS 8 和 CentOS Stream 节点将 DNF 用作软件包管理器。两个程序包管理器都使用更新通知概念。更新通知只是修复特定问题的软件包的集合。

但是,CentOS 和 CentOS Stream 默认存储库不配置更新通知。这意味着,Patch Manager 不检测默认 CentOS 和 CentOS Stream 存储库上的软件包。要允许 Patch Manager 处理更新通知中未包含的软件包,您必须启用补丁基准规则中的 EnableNonSecurity 标记。

Windows Server:确保连接到 Windows 更新目录或 Windows 服务器更新服务(WSUS)

Windows Server 托管式节点必须能够连接到 Windows 更新目录或 Windows Server Update Service (WSUS)。确认您的节点通过互联网网关、NAT 网关或 NAT 实例已经连接到 Microsoft 更新目录。如果您使用的是 WSUS,请确认该节点已连接到环境中的 WSUS 服务器。有关更多信息,请参阅 问题:托管式节点无法访问 Windows 更新目录或 WSUS

S3 终端节点访问

无论托管式节点是在私有网络还是公有网络中运行,如果无法访问所需的 AWS 托管式 Amazon Simple Storage Service (Amazon S3) 存储桶,则修补操作会失败。有关托管式节点必须能够访问的 S3 存储桶的信息,请参阅 SSM Agent 与 AWS 托管 S3 存储桶进行通信使用适用于 Systems Manager 的 VPC 端点提高 EC2 实例的安全性

在本地安装补丁的权限

在 Windows Server 和 Linux 操作系统上,Patch Manager分别假定使用管理员和根用户帐户来安装补丁。

然而,在 macOS 上,对于 Brew 和 Brew Cask,Homebrew 不支持在根用户帐户下运行其命令。因此,Patch Manager 以 Homebrew 目录的所有者或属于 Homebrew 目录的所有者组的有效用户身份查询并运行 Homebrew 命令。因此,为了安装补丁,homebrew 目录的所有者还需要 /usr/local 目录的递归所有者权限。

提示

以下命令可为指定的用户提供此权限:

sudo chown -R $USER:admin /usr/local

Patch Manager 支持的操作系统

Patch Manager 功能并不一定支持其他 Systems Manager 功能所支持的所有相同的操作系统版本。例如,Patch Manager 不支持 CentOS 6.3 或 Raspberry Pi OS 8 (Jessie)。(有关 Systems Manager 所支持的操作系统的完整列表,请参阅 Systems Manager 支持的操作系统。) 因此,请确保要使用 Patch Manager 的托管式节点在下表所列操作系统之一中运行。

注意

Patch Manager 依靠在托管式节点上配置的补丁存储库(例如 Windows 的 Windows 更新目录和 Windows Server Update Services)来检索要安装的可用补丁。因此,对于生命周期终止(EOL)操作系统版本,如果没有新的更新可用,则 Patch Manager 可能无法报告新的更新。这可能是因为 Linux 发行版维护者、Microsoft 或 Apple 没有发布任何新更新,或者因为托管式节点没有访问新更新的适当许可。

Patch Manager 报告托管式节点上可用补丁的合规性状态。因此,如果实例运行的是 EOL 操作系统,但没有可用的更新,则 Patch Manager 可能会将该节点报告为“合规”,具体取决于为修补操作配置的补丁基准。

操作系统 详细信息

Linux

  • AlmaLinux 8.x、9.x

  • Amazon Linux 2012.03-2018.03

  • Amazon Linux 2 版本 2.0 和所有更高版本

  • Amazon Linux 2022

  • Amazon Linux 2023

  • CentOS 6.5–7.9、8.x

  • CentOS Stream 8、9

  • Debian Server 8.x、9.x、10.x、11.x 和 12.x

  • Oracle Linux 7.5–8.x、9.x

  • Raspberry Pi OS(原 Raspbian)9(Stretch)

  • Red Hat Enterprise Linux (RHEL) 6.5–8.x、9.x

  • Rocky Linux 8.x、9.x

  • SUSE Linux Enterprise Server (SLES) 12.0 及更高的 12.x 版本;15.x

  • Ubuntu Server 14.04 LTS、16.04 LTS、18.04 LTS、20.04 LTS、20.10 STR、22.04 LTS、23.04、23.10、24.04 和 24.10

macOS

11.3.1;11.4–11.7(Big Sur)

12.0–12.6(Monterey)

13.0–13.5(Ventura)

14.x (Sonoma)

macOS 操作系统更新

Patch Manager 不支持 macOS 的操作系统 (OS) 更新或升级,例如从 12.x 到 13.x 或 13.1 到 13.2。要在 macOS 上执行操作系统版本更新,我们建议使用 Apple 的内置操作系统升级机制。有关更多信息,请参阅 Apple Developer 文档网站上的 Device Management

Homebrew 支持

Homebrew 开源软件包管理系统已停止支持 macOS 10.14.x(Mojave)和 10.15.x(Catalina)。因此,目前不支持对这些版本执行修补操作。

区域支持

并非所有 AWS 区域 都支持 macOS。有关对适用于 macOS 的 Amazon EC2 支持的一般信息,请参阅《Amazon EC2 用户指南》中的 Amazon EC2 Mac 实例

macOS 边缘设备

macOS 不支持适用于 AWS IoT Greengrass 核心设备的 SSM Agent。您不能使用 Patch Manager 修补 macOS 边缘设备。

Windows

Windows Server 2008 至 Windows Server 2025,包括 R2 版本。

注意

Windows 10 不支持适用于 AWS IoT Greengrass 核心设备的 SSM Agent。您不能使用 Patch Manager 修补 Windows 10 边缘设备。

Windows Server 2008 支持

从 2020 年 1 月 14 日开始,Microsoft 不再为 Windows Server 2008 的功能或安全性更新提供支持。原有 Amazon Machine Images (AMIs) for Windows Server 2008 和 2008 R2 仍包含预安装的 SSM Agent 2 版,但 Systems Manager 不再正式支持 2008 版,并且不再针对更新这些 Windows Server 版本更新代理。此外,SSM Agent 版本 3 可能不兼容 Windows Server 2008 和 2008 R2 上的所有操作。适用于 Windows Server 2008 版的最后正式支持的 SSM Agent 版本为 2.3.1644.0。

Windows Server 2012 和 2012 R2 支持

Windows Server 2012 和 2012 R2 支持已于 2023 年 10 月 10 日结束。要将 Patch Manager 与这些版本一起使用,还建议使用 Microsoft 的扩展安全更新(ESU)。有关更多信息,请参阅 Microsoft 网站上的 Windows Server 2012 和 2012 R2 即将终止支持