修補程式群組 - AWS Systems Manager
運作方式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修補程式群組

重要

修補程式群組不會用於基於修補程式政策的修補操作。如需有關使用修補程式政策的資訊,請參閱 在 中修補政策組態 Quick Setup

您可以使用修補程式群組,將 中的受管節點與特定修補程式基準建立關聯 Patch Manager, 的功能 AWS Systems Manager。修補程式群組會協助您根據相關的修補基準規則,確保您部署適當的修補程式至正確的節點。修補程式群組也能協助您避免在充分測試之前即部署修補程式。例如,您可以為不同的環境建立修補程式群組 (例如,開發、測試和生產) 並將每個修補程式群組註冊到適當的修補基準。

當您執行 時AWS-RunPatchBaseline,您可以使用受管節點的 ID 或標籤來設定目標。SSM Agent 以及 Patch Manager 然後,根據您新增至受管節點的修補程式群組值,評估要使用的修補程式基準。

您可以使用 Amazon Elastic Compute Cloud (Amazon EC2) 標籤建立修補程式群組。不同於 Systems Manager 上的其他標記案例,修補程式群組必須以標籤索引鍵 Patch GroupPatchGroup 定義。該金鑰區分大小寫。您可以指定任何值,以協助您識別該群組中的資源,例如「網路伺服器」或「美國-EAST-PROD」,但金鑰必須是 Patch GroupPatchGroup

在您建立修補程式群組並標記受管節點之後,您可以使用修補基準註冊修補程式群組。使用修補基準註冊修補程式群組,可確保修補程式群組中的節點使用相關修補基準中定義的規則。

有關如何建立修補程式群組,以及將修補程式群組與修補基準建立關聯的詳細資訊,請參閱 建立和管理修補程式群組Add a patch group to a patch baseline(新增修補程式群組至修補基準)。

若要檢視使用 AWS Command Line Interface (AWS CLI) 建立修補基準與修補程式群組的範例,請參閱 教學課程:使用 修補伺服器環境 AWS CLI。如需 Amazon EC2標籤的詳細資訊,請參閱 Amazon 使用者指南 中的標記您的 Amazon EC2 資源 EC2

運作方式

當系統執行任務將修補程式基準套用至受管節點時,SSM Agent 驗證是否已為節點定義修補程式群組值。如果節點指派給修補程式群組,Patch Manager 然後驗證向該群組註冊的修補程式基準。如果找到該群組的修補程式基準,Patch Manager 通知 SSM Agent 使用關聯的修補程式基準。如果未為修補程式群組設定節點,Patch Manager 會自動通知 SSM Agent 使用目前設定的預設修補程式基準。

重要

受管節點只能存在於一個修補程式群組中。

一個修補程式群組只能為每個作業系統類型註冊一個修補基準。

如果EC2執行個體上已啟用執行個體中繼資料中的允許標籤選項,則您無法將Patch Group標籤 (具有空格) 套用至 Amazon 執行個體。允許執行個體中繼資料中的標籤可防止標籤鍵名稱含空格。如果您已在EC2執行個體中繼資料 中允許標籤,則必須使用標籤金鑰 PatchGroup(不含空格)。

圖 1:修補操作處理流程一般範例

下圖顯示 Systems Manager 在傳送 Run Command 任務至您的伺服器機群,以使用 修補 Patch Manager。 這些程序會決定要在修補操作中使用的修補基準。(當維護時段設定為使用 傳送命令進行修補時,會使用類似的程序 Patch Manager.)

完整程序說明如下圖所示。

Patch Manager 工作流程,用於判斷在執行修補操作時要使用的修補基準。

在此範例中,我們有三個EC2執行個體群組 Windows Server 並套用下列標籤:

EC2 執行個體群組 標籤

Group 1

key=OS,value=Windows

key=PatchGroup,value=DEV

Group 2

key=OS,value=Windows

Group 3

key=OS,value=Windows

key=PatchGroup,value=QA

在此範例中,我們也有這兩個 Windows Server 修補程式基準:

修補基準 ID 預設 關聯的修補程式群組

pb-0123456789abcdef0

Default

pb-9876543210abcdef0

DEV

使用 掃描或安裝修補程式的一般程序 Run Command、 的功能 AWS Systems Manager,以及 Patch Manager 如下所示:

  1. 傳送命令以修補 :使用 Systems Manager 主控台、、SDK AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell 傳送 Run Command 任務。 AWS-RunPatchBaseline圖表顯示 Run Command 任務,透過鎖定標籤 來修補受管執行個體key=OS,value=Windows

  2. 修補基準判斷:SSM Agent 驗證套用至EC2執行個體和查詢的修補程式群組標籤 Patch Manager 對應的修補程式基準。

    • 符合與修補基準關聯的修補程式群組值:

      1. SSM Agent安裝在群組 1 EC2執行個體上的 會收到步驟 1 中發出的命令,以開始修補操作。SSM Agent 會驗證EC2執行個體是否已DEV套用修補程式群組標籤值和查詢 Patch Manager 以取得相關聯的修補程式基準。

      2. Patch Manager 驗證修補基準pb-9876543210abcdef0是否具有DEV關聯的修補群組,並通知 SSM Agent.

      3. SSM Agent 從 擷取修補程式基準快照 Patch Manager 根據在 中設定的核准規則和例外狀況,pb-9876543210abcdef0並繼續進行下一個步驟。

    • 無新增至執行個體的修補程式群組標籤:

      1. SSM Agent安裝在群組 2 EC2執行個體上的 會收到步驟 1 中發出的命令,以開始修補操作。SSM Agent 驗證EC2執行個體是否未套用 Patch GroupPatchGroup標籤,因此,SSM Agent queries Patch Manager 用於預設 Windows 修補程式基準。

      2. Patch Manager 驗證預設 Windows Server 修補程式基準為 pb-0123456789abcdef0並通知 SSM Agent.

      3. SSM Agent 從 擷取修補程式基準快照 Patch Manager 根據預設修補程式基準中設定的核准規則和例外狀況,pb-0123456789abcdef0然後繼續下一個步驟。

    • 沒有符合與修補基準關聯的修補程式群組值:

      1. SSM Agent安裝在群組 3 EC2執行個體上的 會收到步驟 1 中發出的命令,以開始修補操作。SSM Agent 會驗證EC2執行個體是否已QA套用修補程式群組標籤值和查詢 Patch Manager 以取得相關聯的修補程式基準。

      2. Patch Manager 找不到與修補程式群組QA相關聯的修補程式基準。

      3. Patch Manager 通知 SSM Agent 使用預設 Windows 修補程式基準 pb-0123456789abcdef0

      4. SSM Agent 從 擷取修補程式基準快照 Patch Manager 根據預設修補程式基準中設定的核准規則和例外狀況,pb-0123456789abcdef0然後繼續下一個步驟。

  3. 修補程式掃描或安裝 :確定要使用的適當修補程式基準後,SSM Agent 根據步驟 1 中指定的操作值開始掃描或安裝修補程式。掃描或安裝的修補程式取決於 提供的修補程式基準快照中定義的核准規則和修補程式例外狀況 Patch Manager.

詳細資訊