SSM修補受管理節點的命令文件 - AWS Systems Manager
SSM修補受管理節點的建議文件修補受管理節點的舊版SSM文件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SSM修補受管理節點的命令文件

本主題說明九個 Systems Manager 文件 (SSM文件),可協助您使用最新的安全性相關更新維持受管理節點的修補程式。

我們建議在您的修補操作中僅使用其中五個文件。這五SSM份文件共同提供您使用的完整修補選項 AWS Systems Manager。其中四份文件的發行時間比它們所取代的四個舊版SSM文件之後發行,並代表功能的擴充或合併。

修補的建議SSM文件

我們建議您在修補作業中使用下列五個SSM文件。

  • AWS-ConfigureWindowsUpdate

  • AWS-InstallWindowsUpdates

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

用於修補的舊版SSM文件

以下四個舊版SSM文件仍然可用於某些文件, AWS 區域 但不再更新,無法保證在所有情況下都能正常運作,並且 future 可能不再受支援。建議您不要在修補作業中使用它們。

  • AWS-ApplyPatchBaseline

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

如需有關在修正作業中使用這些SSM文件的詳細資訊,請參閱下列各節。

主題

建議您在受管理的節點修補作業中使用以下五個SSM文件。

支援設定基本 Windows Update 功能以及使用它們自動安裝更新 (或關閉自動更新)。在全部 AWS 區域中提供。

本SSM文件會提示 Windows Update 下載並安裝指定的更新,並視需要重新啟動受管理的節點。使用本文件的State Manager功能 AWS Systems Manager,以確保 Windows 更新維護其組態。您也可以使用 Run Command ( AWS Systems Manager的一項功能) 手動執行以變更 Windows Update 組態。

此文件中可用的參數支援指定要安裝的更新類別 (或是否停用自動更新),以及指定要在星期幾的什麼時間執行修補操作。如果您不需要嚴格控制 Windows 更新,也不需要收集合規性資訊,則此SSM文件最有用。

取代舊版SSM文件:

在 Windows Server 受管節點上安裝更新。在全部 AWS 區域中提供。

如果您想要安裝特定更新 (使用Include Kbs參數),或想要安裝具有特定分類或類別的修補程式,但不需要修補程式相容性資訊,本SSM文件將提供基本修補功能。

取代舊版SSM文件:

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

這三個舊式文件執行不同的功能,但您可以在較新SSM的文件中使用不同的參數設定來達到相同的結果AWS-InstallWindowsUpdates。這些參數設定如修補受管理節點的舊版SSM文件中所述。

在您的受管節點上安裝修補程式,或掃描節點以判斷是否有遺漏任何合格的修補程式。在全部 AWS 區域中提供。

AWS-RunPatchBaseline 允許您使用指定為作業系統類型之「預設」的修補基準來控制修補程式核准。報告修補程式合規資訊,您可以使用 Systems Manager 合規工具檢視。這些工具提供您受管節點修補程式合規狀態的洞見分析,例如哪些節點遺漏修補程式,以及遺漏的是哪些修補程式。使用時AWS-RunPatchBaseline,會使用PutInventoryAPI指令記錄修補程式符合性資訊。對於 Linux 作業系統,提供給修補程式的合規資訊來自受管節點上設定的預設來源儲存庫,以及您在自訂修補基準中指定的任何替代來源儲存庫。如需有關替代來源儲存庫的詳細資訊,請參閱 如何指定替代修補程式來源儲存庫 (Linux)。如需有關 Systems Manager 合規工具的詳細資訊,請參閱 AWS Systems Manager合規

取代舊有文件:

  • AWS-ApplyPatchBaseline

舊版文件 AWS-ApplyPatchBaseline 僅適用於 Windows Server 受管節點,不支援應用程式修補。較新的 AWS-RunPatchBaseline 為 Windows 和 Linux 系統提供相同的支援。SSM Agent 的 2.0.834.0 版或更新版本,才能使用 AWS-RunPatchBaseline 文件。

如需有關AWS-RunPatchBaselineSSM文件的詳細資訊,請參閱SSM用於修補的命令文件:AWS-RunPatchBaseline

在您的執行個體上安裝修補程式,或掃描執行個體以判斷是否有遺漏任何合格的修補程式。已在所有商業 AWS 區域提供。

AWS-RunPatchBaselineAssociation 在以下幾個重要方面不同於 AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation主要用於與使用的功能建立的State Manager關聯搭配使Quick Setup用 AWS Systems Manager。尤其是,當您使用 Quick Setup 主機管理組態類型時,如果您選擇 Scan instances for missing patches daily (每天掃描執行個體查看是否遺漏修補程式),則系統會使用 AWS-RunPatchBaselineAssociation 進行操作。

    不過,在大多數情況下,當設定自己的修補操作時,您應該選擇 AWS-RunPatchBaselineAWS-RunPatchBaselineWithHooks,而不是 AWS-RunPatchBaselineAssociation

    如需詳細資訊,請參閱下列主題:

  • AWS-RunPatchBaselineAssociation 支援使用標籤來識別執行一組目標時要與哪個修補基準搭配使用。

  • 對於使用 AWS-RunPatchBaselineAssociation 的修補操作,修補程式合規資料會根據特定 State Manager 關聯進行編譯。AWS-RunPatchBaselineAssociation執行時收集的修補程式符合性資料是使用PutComplianceItemsAPI命令而非命PutInventory令來記錄。這樣可以防止覆寫不與此特定關聯相關聯的合規資料。

    對於 Linux 作業系統,提供給修補程式的合規資訊來自執行個體上設定的預設來源儲存庫,以及您在自訂修補基準中指定的任何替代來源儲存庫。如需有關替代來源儲存庫的詳細資訊,請參閱 如何指定替代修補程式來源儲存庫 (Linux)。如需有關 Systems Manager 合規工具的詳細資訊,請參閱 AWS Systems Manager合規

取代舊有文件:

如需有關AWS-RunPatchBaselineAssociationSSM文件的詳細資訊,請參閱SSM用於修補的命令文件:AWS-RunPatchBaselineAssociation

在受管理的節點上安裝修補程式或掃描節點,以判斷是否遺失任何合格的修補程式,並使用選擇性掛接,您可以使用在修補週期期間在三點執行SSM文件。已在所有商業 AWS 區域提供。不支援macOS。

AWS-RunPatchBaselineWithHooks 不同於其 Install 操作中的 AWS-RunPatchBaseline

AWS-RunPatchBaselineWithHooks 支援在受管節點修補期間在指定點執行的生命週期掛鉤。由於修補程式安裝有時需要受管節點重新啟動,因此修補操作會分為兩個事件,總共有三個支援自訂功能的掛鉤。第一個掛鉤是在 Install with NoReboot 操作之前。第二個掛鉤是在 Install with NoReboot 操作之後。節點重新啟動後,第三個掛鉤可用。

取代舊有文件:

如需有關AWS-RunPatchBaselineWithHooksSSM文件的詳細資訊,請參閱SSM用於修補的命令文件:AWS-RunPatchBaselineWithHooks

修補受管理節點的舊版SSM文件

以下四個SSM文件仍然可用於某些文件 AWS 區域。但是,它們不再更新,將 future 可能不再受支持,因此我們不建議使用它們。反之,請使用SSM修補受管理節點的建議文件中所述的文件。

AWS-ApplyPatchBaseline

僅支援 Windows Server 受管節點,但不支援修補其替換項 AWS-RunPatchBaseline 中找到的應用程式。不適用於 2017 年 8 月後 AWS 區域 推出的產品。

注意

本SSM文件的取代需要 2.0.834.0 版或更新版本的. AWS-RunPatchBaseline SSM Agent 您可以使用 AWS-UpdateSSMAgent 文件將您的受管節點更新為最新版本的代理程式。

AWS-FindWindowsUpdates

AWS-InstallWindowsUpdates 取代,可執行所有相同的動作。不適用於 2017 年 4 月後 AWS 區域 推出的產品。

若要達到與此舊版SSM文件相同的結果,請使用下列參數組態搭配建議的取代文件AWS-InstallWindowsUpdates

  • Action = Scan

  • Allow Reboot = False

AWS-InstallMissingWindowsUpdates

AWS-InstallWindowsUpdates 取代,可執行所有相同的動作。不適用於 2017 年 4 月後 AWS 區域 推出的任何產品。

若要達到與此舊版SSM文件相同的結果,請使用下列參數組態搭配建議的取代文件AWS-InstallWindowsUpdates

  • Action = Install

  • Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

AWS-InstallWindowsUpdates 取代,可執行所有相同的動作。不適用於 2017 年 4 月後 AWS 區域 推出的任何產品。

若要達到與此舊版SSM文件相同的結果,請使用下列參數組態搭配建議的取代文件AWS-InstallWindowsUpdates

  • Action = Install

  • Allow Reboot = True

  • Include Kbs = comma-separated list of KB articles