Patch Manager 先決條件 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Patch Manager 先決條件

使用 之前,請確定您符合必要的先決條件 Patch Manager, 的功能 AWS Systems Manager。

SSM Agent version

2.0.834.0 版或更新版本 SSM Agent 正在您想要管理的受管節點上執行 Patch Manager.

注意

的更新版本 SSM Agent 會在將新功能新增至 Systems Manager 或更新現有功能時發行。若未使用最新版本的代理程式,您的受管節點可能會無法使用各種 Systems Manager 的功能及特點。因此,我們建議您將保留程序自動化 SSM Agent 電腦上的最新功能。如需相關資訊,請參閱 自動化 SSM Agent 更新。訂閱 SSM Agent 上的版本備註頁面 GitHub 以取得有關 的通知 SSM Agent 更新。

Python 版本

用於 macOS 和大多數 Linux 作業系統 (OSs) Patch Manager 目前支援 Python 2.6 - 3.10 版。The AlmaLinux、Debian Server, Raspberry Pi OS 和 Ubuntu Server OSs 需要支援的 Python 3 版本 (3.0 - 3.10)。

與修補程式來源的連線

如果您的受管節點未直接連線至網際網路,且您使用 Amazon Virtual Private Cloud (Amazon VPC) 搭配 VPC 端點,您必須確保節點可存取來源修補程式儲存庫 (repos)。在 Linux 節點上,修補程式更新通常會從節點上設定的遠端儲存庫下載。因此,節點必須能夠連接至儲存庫,以便執行修補。如需詳細資訊,請參閱如何選取安全性修補程式

CentOS 和 CentOS Stream:啟用EnableNonSecurity旗標

CentOS 6 和 7 受管節點使用 Yum 作為套件管理工具。CentOS 8 和 CentOS Stream 節點使用 DNF 作為套件管理員。這兩個套件管理工具都使用更新通知的概念。更新通知僅只是修復特定問題的套件集合。

不過,CentOS 和 CentOS Stream 預設儲存位置未設定更新通知。這表示 Patch Manager 不會偵測預設 CentOS 和 上的套件 CentOS Stream 儲存。若要允許 Patch Manager 若要處理更新通知中未包含的套件,您必須開啟修補程式基準規則中的EnableNonSecurity旗標。

Windows Server:確保連線至 Windows Update Catalog 或 Windows Server Update Services (WSUS)

Windows Server 受管節點必須能夠連線至 Windows Update Catalog 或 Windows Server Update Services (WSUS)。確認您的節點已透過網際網路閘道、NAT 閘道或 NAT 執行個體連線至 Microsoft Update Catalog。如果您使用的是 WSUS,請確認節點已連線至您環境中的 WSUS 伺服器。如需詳細資訊,請參閱問題:受管節點無法存取 Windows Update Catalog 或 WSUS

S3 端點存取

無論您的受管節點是在私有或公有網路中運作,而且無法存取所需的 AWS 受管 Amazon Simple Storage Service (Amazon S3) 儲存貯體,修補操作都會失敗。如需受管節點必須能夠存取之 S3 儲存貯體的相關資訊,請參閱 SSM Agent 與 AWS 受管 S3 儲存貯體的通訊使用 Systems Manager 的VPC端點來改善EC2執行個體的安全性

在本機安裝修補程式的許可

開啟 Windows Server 和 Linux 作業系統 Patch Manager 會分別假設管理員和根使用者帳戶來安裝修補程式。

開啟 macOS不過,對於 Brew 和 Brew Cask,Homebrew 不支援其在根使用者帳戶下執行的命令。因此 Patch Manager 查詢 並以 Homebrew 目錄的擁有者身分執行 Homebrew 命令,或以屬於 Homebrew 目錄擁有者群組的有效使用者身分執行 Homebrew 命令。因此,為了安裝修補程式,homebrew目錄的擁有者也需要/usr/local目錄的遞迴擁有者許可。

提示

下列命令為指定的使用者提供此許可:

sudo chown -R $USER:admin /usr/local

支援的作業系統 Patch Manager

所以此 Patch Manager 功能不支援其他 Systems Manager 功能支援的所有相同作業系統版本。例如 Patch Manager 不支援 CentOS 6.3 或 Raspberry Pi OS 8 (Jessie)。(如需 Systems Manager 支援的作業系統完整清單,請參閱 Systems Manager 支援的作業系統。) 因此,請確定您要搭配 使用的受管節點 Patch Manager 正在執行下表中列出的其中一個作業系統。

注意

Patch Manager 依賴於在受管節點上設定的修補程式儲存庫,例如 Windows Update Catalog 和 Windows 的 Windows Server Update Services,來擷取可用的修補程式以進行安裝。因此,在生命週期結束 (EOL) 作業系統版本中,如果沒有新的更新可用,Patch Manager 可能無法報告新的更新。這可能是因為 Linux 發行版本維護器、Microsoft 或 Apple 不會發行新的更新,或因為受管節點沒有存取新更新的正確授權。

Patch Manager 針對受管節點上可用的修補程式報告合規狀態。因此,如果執行個體正在執行 EOL 作業系統,而且沒有可用的更新,Patch Manager 可能會將節點報告為合規,取決於針對修補操作設定的修補程式基準。

作業系統 詳細資訊

Linux

  • AlmaLinux 8.x、9.x

  • Amazon Linux 2012.03–2018.03

  • Amazon Linux 2 2.0 和所有更新版本

  • Amazon Linux 2022

  • Amazon Linux 2023

  • CentOS 6.5–7.9、8.x

  • CentOS Stream 8、9

  • Debian Server 8.x、9.x、10.x、11.x 和 12.x

  • Oracle Linux 7.5–8.x、9.x

  • Raspberry Pi OS (先前為 Raspbian) 9 (Stretch)

  • Red Hat Enterprise Linux (RHEL) 6.5–8.x、9.x

  • Rocky Linux 8.x、9.x

  • SUSE Linux Enterprise Server (SLES) 12.0 及更新版本 12.x;15.x

  • Ubuntu Server 14.04 LTS、16.04 LTS、18.04 LTS、20.04 LTS、20.10 STR、22.04 LTS、23.04、23.10、24.04 和 24.10

macOS

11.3.1;11.4–11.7 (Big Sur)

12.0–12.6 (Monterey)

13.0–13.5 (Ventura)

14.x (索諾馬)

macOS 作業系統更新

Patch Manager 不支援 的作業系統 (OS) 更新或升級 macOS,例如從 12.x 到 13.x 或 13.1 到 13.2。在 上執行作業系統版本更新 macOS,我們建議您使用 Apple 的內建作業系統升級機制。如需詳細資訊,請參閱 Apple Developer Documentation 網站上的 Device Management

Homebrew 支援

Homebrew 開放原始碼軟體套件管理系統已停止對 的支援 macOS 10.14.x (Mojave) 和 10.15.x (Catalina)。因此,目前這些版本的修補操作不受支援。

區域支援

macOS 不支援全部 AWS 區域。如需 Amazon EC2 支援的詳細資訊 macOS,請參閱 Amazon EC2 使用者指南中的 Amazon Word Mac 執行個體 EC2

macOS 邊緣裝置

SSM Agent AWS IoT Greengrass 核心裝置 不支援 macOS。 您無法使用 Patch Manager 修補 macOS 邊緣裝置。

Windows

Windows Server 2008 年至 年 Windows Server 2025,包括 R2 版本。

注意

SSM Agent Windows 10 不支援 AWS IoT Greengrass 核心裝置。您無法使用 Patch Manager 修補 Windows 10 邊緣裝置。

Windows Server 2008 年支援

截至 2020 年 1 月 14 日,Windows Server Microsoft 的功能或安全更新不再支援 2008。傳統 Amazon Machine Images (AMIs) for Windows Server 2008 和 2008 R2 仍包含 的 第 2 版 SSM Agent 預先安裝,但 Systems Manager 不再正式支援 2008 版,也不再更新這些版本的代理程式 Windows Server。 此外,SSM Agent 第 3 版可能與 上的所有操作不相容 Windows Server 2008 和 2008 R2。最終官方支援的 版本 SSM Agent for Windows Server 2008 版本為 2.3.1644.0。

Windows Server 2012 和 2012 R2 支援

Windows Server 2012 和 2012 R2 已於 2023 年 10 月 10 日終止支援。使用 Patch Manager 在這些版本中,我們也建議使用來自 Microsoft 的延伸安全性更新 (ESUs)。如需詳細資訊,請參閱 Windows Server 2012 和 2012 R2 在 Microsoft 網站上的支援即將結束。