本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 AMS Accelerate 中的修補程式管理
<a name="acc-patching"></a>

**重要**  
加速修補程式報告會定期部署以 AWS Glue 資源為基礎的政策。請注意，修補系統的 AMS 更新會覆寫現有的 AWS Glue 資源型政策。

**重要**  
您可以為受管節點指定替代修補程式儲存庫。當 AMS 實作您請求的修補程式組態時，您需負責選取和驗證所選儲存庫的安全性。您還必須接受使用這些儲存庫的任何風險，例如供應鏈風險。  
以下是修補程式管理程序安全性的最佳實務：  
僅使用受信任且經過驗證的儲存庫來源
盡可能預設為標準作業系統廠商儲存庫
定期稽核自訂儲存庫組態

您可以使用 AMS Accelerate 修補系統修補程式附加元件，透過安全相關和其他類型的更新來修補執行個體。Accelerate Patch Add-On 是一項功能，可為 AMS 執行個體提供標籤型修補。它利用 AWS Systems Manager (SSM) 功能，讓您可以標記執行個體，並使用您設定的基準和視窗修補這些執行個體。AMS Accelerate Patch Add-On 是加入選項，如果您在加入 Accelerate 帳戶期間未取得，請聯絡您的雲端服務交付經理 (CSDM) 以取得。

AMS Accelerate 修補程式管理使用 Systems Manager 修補程式基準功能來控制套用至執行個體的修補程式定義。修補程式基準包含預先核准的修補程式清單；例如，所有安全修補程式。根據與其相關聯的修補程式基準來衡量執行個體的合規性。AMS Accelerate 預設會安裝所有可用的修補程式，讓執行個體保持最新狀態。

**注意**  
AMS Accelerate 僅適用於作業系統 (OS) 修補程式。例如，對於 Windows，只會套用 Windows 更新，而非 Microsoft 更新。

如需報告的資訊，請參閱 [AMS 主機管理報告](ams-host-man.md)。

AMS Accelerate 提供各種營運服務，協助您實現卓越營運 AWS。若要快速了解 AMS 如何 AWS 雲端 透過我們的一些關鍵營運功能，包括全年無休服務台、主動監控、安全性、修補、記錄和備份，協助您的團隊在 中實現整體卓越營運，請參閱 [ AMS 參考架構圖表](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/AWS-managed-services-for-operational-excellence-ra.pdf)。

**Topics**
+ [修補建議](#acc-patching-recos)
+ [在 AMS 中建立修補程式維護時段](acc-p-maint-window.md)
+ [具有勾點的修補程式](acc-p-hooks.md)
+ [AMS Accelerate 修補程式基準](acc-patch-baseline.md)
+ [建立 IAM 角色以隨需修補 AMS Accelerate](acc-p-user-access.md)
+ [了解 AMS Accelerate 中的修補程式通知和修補程式失敗](acc-patch-mon-remediate.md)

## 修補建議
<a name="acc-patching-recos"></a>

如果您參與應用程式或基礎設施操作，您會了解作業系統 (OS) 修補解決方案的重要性，其彈性和可擴展性足以滿足您的應用程式團隊的各種需求。在典型組織中，某些應用程式團隊使用涉及不可變執行個體的架構，而其他則將其應用程式部署在可變執行個體上。

如需修補 AWS 規範指引的詳細資訊，請參閱[使用 的混合雲端中可變執行個體的自動修補 AWS Systems Manager](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/welcome.html)。

**注意**  
Accelerate Patch Add-On 是一項功能，可為 AMS 執行個體提供標籤型修補。它利用 AWS Systems Manager (SSM) 功能，讓您可以標記執行個體，並使用您設定的基準和視窗修補這些執行個體。AMS Accelerate Patch Add-On 是加入選項，如果您在加入 Accelerate 帳戶期間未取得，請聯絡您的雲端服務交付經理 (CSDM) 以取得。

### 修補程式責任建議
<a name="patch-recos-responsibilities"></a>

持久性執行個體的修補程序應涉及下列團隊和動作：
+ **應用程式 (DevOps) 團隊**會根據應用程式環境、作業系統類型或其他條件，為其伺服器定義修補程式群組。它們也會定義每個修補程式群組特定的維護時段。此資訊應存放在連接到執行個體的標籤上。建議的標籤名稱為「修補程式群組」和「維護時段」。在每個修補週期期間，應用程式團隊會準備修補、在修補之後測試應用程式，以及在修補期間疑難排解其應用程式和作業系統的任何問題。
+ **安全操作團隊**會定義應用程式團隊使用的各種作業系統類型的修補程式基準，並透過 Systems Manager Patch Manager 提供修補程式。
+ **自動化修補解決方案**會定期執行，並根據使用者定義的修補程式群組和維護時段，部署修補程式基準中定義的修補程式。
+ **控管和合規團隊會**定義修補準則和例外狀況程序與機制。

如需詳細資訊，請參閱[針對可變 EC2 執行個體的修補解決方案設計](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)。

### 應用程式團隊的指引
<a name="patch-recos-app-teams"></a>
+ 檢閱並熟悉建立和管理維護時段；請參閱[AWS Systems Manager 維護時段](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-maintenance.html)和[建立 SSM 維護時段以進行修補](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-patching.html#acc-p-maint-window)，以進一步了解。了解一般結構和使用維護時段可協助您了解，如果您不是建立這些資訊的人員，應提供哪些資訊。
+ 對於高可用性 (HA) 設定，計劃每個可用區域和每個環境有一個維護時段 (Dev/Test/Prod)。這可確保修補期間的持續可用性。
+ 建議的維護時段持續時間為 4 小時，間隔 1 小時，加上每 50 個執行個體額外 1 小時
+ 具有足夠時間的修補程式開發和測試版本，可讓您在生產修補之前識別任何潛在問題。
+ 透過 SSM 自動化自動化常見的修補前和修補後任務，並將其做為維護時段任務執行。請注意，對於修補後任務，您必須確保配置足夠的時間，因為一旦達到截止值，任務就不會啟動。
+ 熟悉修補程式基準及其功能 - 特別是修補程式嚴重性類型的自動核准延遲，這些嚴重性類型可用於確保只有在開發/測試中套用的修補程式才能在日後的生產中套用。如需詳細資訊，請參閱[關於修補程式基準](https://docs.aws.amazon.com/systems-manager/latest/userguide/about-patch-baselines.html)。

### 安全營運團隊的指引
<a name="patch-recos-sec-ops-teams"></a>
+ 檢閱並熟悉修補程式基準。修補程式核准會以自動化方式處理，並具有不同的規則選項。如需詳細資訊，請參閱[關於修補程式基準](https://docs.aws.amazon.com/systems-manager/latest/userguide/about-patch-baselines.html)。
+ 與應用程式團隊討論修補 Dev/Test/Prod 的需求，並開發多個基準以滿足 這些需求。

### 控管和合規團隊的指引
<a name="patch-recos-gov-comp-teams"></a>
+ 修補應該是「選擇退出」函數。預設維護時段和自動標記應該存在，以確保沒有未修補的內容。AMS Resource Tagger 可以提供這項協助；請與您的雲端架構師 (CA) 或雲端服務交付管理員 (CSDM) 討論此選項，以取得實作指引。
+ 請求豁免修補應要求文件證明豁免。資訊安全長 (CISO) 或其他核准主管應核准或拒絕請求。
+ 修補合規應透過修補程式管理員主控台、Security Hub 或漏洞掃描器定期審查。

### 高可用性 Windows 應用程式的範例設計
<a name="patch-ex-design-ha-win-app"></a>

 ![\[Patch Tuesday schedule showing development, test, and production environments with baseline approval timelines.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/acc-maint-window.png) 

**概觀：**
+ 每個可用區域一個維護時段。
+ 每個環境一組維護時段。
+ 每個環境一個修補程式基準：
  + 開發：核准 0 天後的所有嚴重性和分類。
  + 測試：在 0 天後核准關鍵安全性更新 修補程式，並在 7 天後核准所有其他嚴重性和分類。
  + 生產：在 0 天後 核准關鍵安全性更新修補程式，並在 14 天後核准所有其他嚴重性和分類。

**CloudFormation 指令碼：**

這些指令碼的設定是使用上述基準核准設定，為兩個可用區域 Windows HA EC2 應用程式建置維護時段、基準和修補任務。
+ Windows 開發 CFN 堆疊範例： [HA-Patching-Dev-Stack.json](samples/HA-Patching-Dev-Stack.zip)
+ Windows 測試 CFN 堆疊範例： [HA-Patching-Test-Stack.json](samples/HA-Patching-Test-Stack.zip)
+ Windows 產品 CFN 堆疊範例： [HA-Patching-Prod-Stack.json](samples/HA-Patching-Prod-Stack.zip)

### 修補程式建議FAQs
<a name="patch-recos-faq"></a>

問：如何處理「0」日攻擊的未排程修補？

答：SSM 支援**立即修補**功能，該功能使用執行個體作業系統的目前預設基準。AMS 部署一組預設的修補程式基準，在 0 天後核准所有修補程式。不過，使用**立即修補**功能時，不會擷取預先修補快照，因為此命令會執行 AWS-RunPatchBaseline SSM 文件。建議您在修補之前手動備份。

問：AMS 是否支援自動擴展群組 (ASGs) 中執行個體的修補？

答：否。加速客戶目前不支援 ASG 修補。

問：維護 Windows 是否有任何需要記住的限制？

答：是，您應該注意一些限制。
+ 每個帳戶的維護時段：50
+ 每個維護時段的任務數：20
+ 每個維護時段的並行自動化數目上限：20
+ 並行維護時段數目上限：5

如需預設 SSM 限制的完整清單，請參閱 [AWS Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。