AWS Systems Manager Patch Manager
Patch Manager 是 AWS Systems Manager 的一个功能,可使用安全相关更新及其他类型的更新自动执行修补托管式节点的过程。
重要
从 2022 年 12 月 22 日起,Systems Manager 在 AWS Systems Manager 的功能 Quick Setup 中为补丁策略提供支持。建议使用补丁策略来配置修补操作。使用单一补丁策略配置,您可以为贵组织中所有区域的所有账户定义修补、仅为所选的账户和区域定义修补,或为单个账户区域对定义修补。有关更多信息,请参阅 Quick Setup 中的补丁策略配置。
您可以使用 Patch Manager 来应用操作系统和应用程序的补丁。(在 Windows Server 上,应用程序支持仅限于更新 Microsoft 发布的应用程序。) 您可以使用 Patch Manager 在 Windows 节点上安装 Service Pack,并在 Linux 节点上执行次要版本升级。可以按操作系统类型对 Amazon Elastic Compute Cloud(Amazon EC2)实例、边缘设备或本地服务器和虚拟机(VM)的实例集进行修补。这包括多个操作系统的支持版本,如 Patch Manager 先决条件中所列。您可以扫描实例以仅查看缺失补丁的报告,也可以扫描并自动安装所有缺失的补丁。要开始使用 Patch Manager,请打开 Systems Manager 控制台
注意
在 Patch Manager 中提供补丁之前,AWS 不会测试这些补丁。此外,Patch Manager 不支持升级操作系统的主要版本,例如,将 Windows Server 2016 升级到 Windows Server 2019,或将 SUSE Linux Enterprise Server (SLES) 12.0 升级到 SLES 15.0。
对于报告修补程序严重性级别的基于 Linux 的操作系统类型,Patch Manager 将软件发布商报告的严重性级别用于更新通知或单个修补程序。Patch Manager 不会从第三方来源(例如常见漏洞评分系统
补丁基准
Patch Manager 使用补丁基准,该基准包含用于在补丁发布几天内自动批准补丁的规则以及一系列已批准和已拒绝的补丁。运行修补操作时,Patch Manager 会将当前应用于托管节点的补丁与应根据补丁基准中设置的规则应用的补丁进行比较。您可以选择让 Patch Manager 只显示缺失补丁的报告(Scan
操作),也可以选择让 Patch Manager 自动安装它发现的托管节点中缺失的所有补丁(Scan and install
操作)。
修补操作方法
Patch Manager 目前提供运行 Scan
和 Scan
and install
操作的四种方法:
-
(推荐)在 Quick Setup 中配置的补丁策略:基于与 AWS Organizations 的集成,单个补丁策略可以定义整个组织的修补计划和补丁基准(包括多个 AWS 账户 和这些账户操作所在的 AWS 区域)。补丁策略也可以仅针对组织中的某些组织单位(OU)。您可以使用单个补丁策略按不同的计划进行扫描安装。有关更多信息,请参阅使用 Quick Setup 为组织中的实例配置补丁 和Quick Setup 中的补丁策略配置。
-
在 Quick Setup 中配置的主机管理选项:与 AWS Organizations 的集成还支持主机管理配置,从而可以对整个组织运行修补操作。但是,此选项仅限于使用当前默认补丁基准扫描缺失的补丁并在合规性报告中提供结果。此操作方法无法安装补丁。有关更多信息,请参阅 使用 Quick Setup 设置 Amazon EC2 主机管理。
-
运行补丁
Scan
或Install
任务的维护时段:可以在 Systems Manager 中的 Maintenance Windows 功能中设置维护时段,将其配置为按照您定义的计划运行不同类型的任务。Run Command 类型任务可用于运行Scan
或Scan and install
任务(用于您选择的一组托管节点)。每个维护时段任务只能针对单一 AWS 账户-AWS 区域 对中的托管节点。有关更多信息,请参阅 教程:使用控制台创建修补的维护时段。 -
Patch Manager 中的按需立即修补操作 – 使用立即修补选项,可以在需要尽快修补托管式节点时,绕过计划设置。使用 Patch now(立即修补),您可以指定是运行
Scan
还是Scan and install
操作,以及要在哪些托管节点上运行该操作。您还可以选择在修补操作期间将 Systems Manager 文档(SSM 文档)作为生命周期挂钩运行。每个 Patch now(立即修补)操作只能针对单一 AWS 账户-AWS 区域 对中的托管节点。有关更多信息,请参阅 按需修补托管式节点。
合规性报告
Scan
操作完成后,可以使用 Systems Manager 控制台查看相关信息,了解哪些托管节点不满足补丁合规性以及每个节点缺少哪些补丁。也可以生成 .csv 格式的补丁合规性报告,发送到您选择的 Amazon Simple Storage Service (Amazon S3) 存储桶。您可以生成一次性报告,也可以生成定期报告。对于单个托管式节点,报告包含节点所有补丁的详细信息。对于所有托管式节点的报告,仅提供缺少多少补丁的摘要。生成报告后,您可以使用 Amazon QuickSight 等工具导入和分析数据。有关更多信息,请参阅 使用补丁合规性报告。
注意
通过使用补丁策略生成的合规性项的执行类型为 PatchPolicy
。补丁策略操作中未生成的合规项的执行类型为 Command
。
集成
Patch Manager 与以下其他 AWS 服务 服务集成在一起:
-
AWS Identity and Access Management(IAM):使用 IAM 控制哪些用户、群组和角色有权访问 Patch Manager 操作。有关更多信息,请参阅 AWS Systems Manager 如何与 IAM 协同工作 和配置 Systems Manager 所需的实例权限。
-
AWS CloudTrail:使用 CloudTrail 记录由用户、角色或群组发起的修补操作事件历史记录以供审核。有关更多信息,请参阅 使用 AWS CloudTrail 记录 AWS Systems Manager API 调用。
-
AWS Security Hub:可将来自 Patch Manager 的补丁合规性数据发送到 AWS Security Hub。Security Hub 能让您全面了解高优先级安全警报和合规性状态。它还监控您的机群的修补状态。有关更多信息,请参阅 将 Patch Manager 与 AWS Security Hub 集成。
-
AWS Config:在 AWS Config 中设置录制以在 Patch Manager 控制面板中查看 Amazon EC2 实例管理数据。有关更多信息,请参阅 查看补丁程序控制面板摘要。