本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Systems Manager Patch Manager
Patch Manager是 的功能 AWS Systems Manager, 會使用安全相關更新和其他類型的更新,自動修補受管節點的程序。
重要
自 2022 年 12 月 22 日起,Systems Manager 會在 中提供修補程式政策的支援 Quick Setup, 的功能 AWS Systems Manager。使用修補政策是設定修補操作的建議方法。使用單一修補政策組態,您可以為組織中所有區域的所有帳戶、僅針對您選擇的帳戶和區域,或針對單一帳戶區域對定義修補。如需詳細資訊,請參閱在 中修補政策組態 Quick Setup。
您可以使用...Patch Manager 為作業系統和應用程式套用修補程式。(開啟 Windows Server,應用程式支援僅限於 Microsoft 發行之應用程式的更新。) 您可以使用...Patch Manager 在 Windows 節點上安裝 Service Pack,並在 Linux 節點上執行次要版本升級。您可以依作業系統類型修補 Amazon Elastic Compute Cloud (AmazonEC2) 執行個體、邊緣裝置、內部部署伺服器和虛擬機器 (VMs) 的機群。這包括數個作業系統的支援版本,如 Patch Manager 先決條件 中所列。您可以掃描執行個體,僅查看遺漏的修補程式報告,或者掃描並自動安裝所有遺漏的修補程式。若要開始使用 Patch Manager,開啟 Systems Manager 主控台
注意
AWS 在 中提供修補程式之前, 不會先進行測試修補程式 Patch Manager。 此外,Patch Manager 不支援升級作業系統的主要版本,例如 Windows Server 2016 年至 Windows Server 2019 年,或 SUSE Linux Enterprise Server (SLES) 12.0 至 SLES 15.0。
對於報告修補程式嚴重性層級的 Linux 作業系統類型,Patch Manager 使用軟體發佈者報告的嚴重性層級進行更新通知或個別修補程式。Patch Manager 不會從第三方來源衍生嚴重性等級,例如通用漏洞評分系統
修補基準
Patch Manager 使用修補程式基準 ,其中包括在修補程式發佈後 天內自動核准修補程式的規則,以及已核准和拒絕修補程式的選用清單。修補操作執行時,Patch Manager 會將目前套用至受管節點的修補程式與應根據修補程式基準中設定的規則套用的修補程式進行比較。您可以選擇 Patch Manager 只顯示遺失修補程式的報告 (Scan
操作),或者您可以選擇 Patch Manager 自動安裝其發現的所有修補程式,這些修補程式都從受管節點 (Scan and install
操作) 中遺失。
修補操作方法
Patch Manager 目前提供四種執行 Scan
和 Scan and install
操作的方法:
-
(建議) 在 中設定的修補程式政策 Quick Setup – 根據與 的整合 AWS Organizations,單一修補政策可以定義整個組織的修補排程和修補基準,包括多個 AWS 帳戶 和所有 AWS 區域 這些帳戶在其中操作。修補程式政策也可以僅鎖定組織中的一些組織單位 (OUs)。您可以使用單一修補程式政策依照不同的排程進行掃描和安裝。如需詳細資訊,請參閱 使用 設定組織中執行個體的修補 Quick Setup 和 在 中修補政策組態 Quick Setup。
-
在 中設定的主機管理選項 Quick Setup – 與 整合也支援主機管理組態 AWS Organizations,因此可以為整個組織執行修補操作。不過,此選項僅限於使用目前預設修補基準掃描遺失的修補程式,並在合規報告中提供結果。此操作方法無法安裝修補程式。如需詳細資訊,請參閱使用 設定 Amazon EC2 主機管理 Quick Setup。
-
執行修補程式
Scan
或Install
任務的維護時段 – 您在 Systems Manager 功能中設定的維護時段,稱為 Maintenance Windows,可以設定為在您定義的排程上執行不同類型的任務。A Run Command類型任務可用來執行Scan
或Scan and install
執行您選擇的一組受管節點。每個維護時段任務只能以單一 AWS 帳戶AWS 區域 對中的受管節點為目標。如需詳細資訊,請參閱教學課程:使用主控台建立修補的維護時段。 -
現在, 中的隨需修補程式操作 Patch Manager – 現在修補選項可讓您在需要盡快修補受管節點時略過排程設定。使用 Patch now (立即修補),可指定是否執行
Scan
或Scan and install
操作,以及要在哪些受管節點上執行操作。您也可以選擇在修補操作期間執行 Systems Manager 文件 (SSM 文件) 作為生命週期掛鉤。每個修補程式現在只能以單一 AWS 帳戶AWS 區域 對中的受管節點為目標。如需詳細資訊,請參閱隨需修補受管節點。
合規報告
Scan
操作完成後,您可以使用 Systems Manager 主控台來檢視哪些受管節點不符合修補程式規範,以及每個節點遺失了哪些修補程式。您也可以產生可傳送至所選 Amazon Simple Storage Service (Amazon S3) 儲存貯體的修補程式合規報告,格式為 .csv。您可以產生一次性報告,或定期產生報告。對於單一受管節點,報告包含節點之所有修補程式的詳細資訊。對於所有受管節點的報告,只會提供缺少修補程式數量的摘要。產生報告後,您可以使用 Amazon 之類的工具 QuickSight 匯入和分析資料。如需詳細資訊,請參閱使用修補程式合規報告。
注意
透過使用修補程式政策產生之合規項的執行類型為 PatchPolicy
。不是在修補程式政策操作中產生的合規項的執行類型為 Command
。
整合
Patch Manager 與下列其他 整合 AWS 服務:
-
AWS Identity and Access Management (IAM) – IAM用於控制哪些使用者、群組和角色可存取 Patch Manager 操作。如需詳細資訊,請參閱 方法 AWS Systems Manager 適用於 IAM和 設定 Systems Manager 所需的執行個體許可。
-
AWS CloudTrail – 使用 CloudTrail 記錄使用者、角色或群組啟動的修補操作事件的可稽核歷史記錄。如需詳細資訊,請參閱使用 記錄 AWS Systems Manager API通話 AWS CloudTrail。
-
AWS Security Hub – 從 修補合規資料 Patch Manager 可以傳送至 AWS Security Hub。Security Hub 可為您提供高優先級安全性警示和合規性狀態的全方位檢視。它還會監控您的機群的修補狀態。如需詳細資訊,請參閱整合 Patch Manager 使用 AWS Security Hub。
-
AWS Config – 在 中設定記錄 AWS Config ,以檢視 中的 Amazon EC2執行個體管理資料 Patch Manager 儀表板。如需詳細資訊,請參閱檢視修補程式儀表板摘要。