Amazon Systems Manager Patch Manager - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Systems Manager Patch Manager

Patch Manager 是 Amazon Systems Manager 的一个功能,可使用安全相关更新及其他类型的更新自动执行修补托管式节点的过程。

重要

从 2022 年 12 月 22 日起,Systems Manager 为补丁策略提供支持,这是配置修补操作的新方法和推荐方法。使用单一补丁策略配置,您可以为贵组织中所有区域的所有账户定义修补、仅为所选的账户和区域定义修补,或为单个账户区域对定义修补。有关更多信息,请参阅使用 Quick Setup 补丁策略

您可以使用 Patch Manager 来应用操作系统和应用程序的补丁。(在 Windows Server 上,应用程序支持仅限于更新 Microsoft 发布的应用程序。) 您可以使用 Patch Manager 在 Windows 节点上安装 Service Pack,并在 Linux 节点上执行次要版本升级。可以按操作系统类型对 Amazon Elastic Compute Cloud(Amazon EC2)实例、边缘设备或本地服务器和虚拟机(VM)的实例集进行修补。这包括多个操作系统的支持版本,如 Patch Manager先决条件中所列。您可以扫描实例以仅查看缺失补丁的报告,也可以扫描并自动安装所有缺失的补丁。要开始使用 Patch Manager,请打开 Systems Manager 控制台。在导航窗格中,选择 Patch Manager

注意

在 Patch Manager 中提供补丁之前,Amazon 不会测试这些补丁。此外,Patch Manager 不支持升级操作系统的主要版本,例如,将 Windows Server 2016 升级到 Windows Server 2019,或将 SUSE Linux Enterprise Server (SLES) 12.0 升级到 SLES 15.0。

对于报告修补程序严重性级别的基于 Linux 的操作系统类型,Patch Manager 将软件发布商报告的严重性级别用于更新通知或单个修补程序。Patch Manager 不会从第三方来源(例如常见漏洞评分系统 (CVSS)),或者国家漏洞数据库 (NVD) 发布的指标中获取严重性级别。

补丁基准

Patch Manager 使用补丁基准,该基准包含用于在补丁发布几天内自动批准补丁的规则以及一系列已批准和已拒绝的补丁。运行修补操作时,Patch Manager 会将当前应用于托管节点的补丁与应根据补丁基准中设置的规则应用的补丁进行比较。您可以选择让 Patch Manager 只显示缺失补丁的报告(Scan 操作),也可以选择让 Patch Manager 自动安装它发现的托管节点中缺失的所有补丁(Scan and install 操作)。

修补操作方法

Patch Manager 目前提供运行 ScanScan and install 操作的四种方法:

  • (推荐)在 Quick Setup 中配置的补丁策略:基于与 Amazon Organizations 的集成,单个补丁策略可以定义整个组织的修补计划和补丁基准(包括多个 Amazon Web Services 账户 和这些账户操作所在的 Amazon Web Services 区域)。补丁策略也可以仅针对组织中的某些组织单位(OU)。您可以使用单个补丁策略按不同的计划进行扫描安装。有关更多信息,请参阅 Patch Manager 组织修补配置使用 Quick Setup 补丁策略

  • 在 Quick Setup 中配置的主机管理选项:与 Amazon Organizations 的集成还支持主机管理配置,从而可以对整个组织运行修补操作。但是,此选项仅限于使用当前默认补丁基准扫描缺失的补丁并在合规性报告中提供结果。此操作方法无法安装补丁。有关更多信息,请参阅Amazon EC2 主机管理

  • 运行补丁 ScanInstall 任务的维护时段:可以在 Systems Manager 中的 Maintenance Windows 功能中设置维护时段,将其配置为按照您定义的计划运行不同类型的任务。Run Command 类型任务可用于运行 ScanScan and install 任务(用于您选择的一组托管节点)。每个维护时段任务只能针对单一 Amazon Web Services 账户-Amazon Web Services 区域 对中的托管节点。有关更多信息,请参阅演练:创建用于修补的维护时段(控制台)

  • 在 Patch Manager 中的按需“Patch now”(立即修补)操作:使用 Patch now(立即修补)选项,可以在需要尽快修补托管节点时,绕过计划设置。使用 Patch now(立即修补),您可以指定是运行 Scan 还是 Scan and install 操作,以及要在哪些托管节点上运行该操作。您还可以选择在对修补操作进行修补期间将 Systems Manager 文档(SSM 文档)作为生命周期挂钩运行。每个 Patch now(立即修补)操作只能针对单一 Amazon Web Services 账户-Amazon Web Services 区域 对中的托管节点。有关更多信息,请参阅按需修补托管式节点

合规性报告

Scan 操作完成后,可以使用 Systems Manager 控制台查看相关信息,了解哪些托管节点不满足补丁合规性以及每个节点缺少哪些补丁。也可以生成 .csv 格式的补丁合规性报告,发送到您选择的 Amazon Simple Storage Service (Amazon S3) 存储桶。您可以生成一次性报告,也可以生成定期报告。对于单个托管式节点,报告包含节点所有补丁的详细信息。对于所有托管式节点的报告,仅提供缺少多少补丁的摘要。生成报告后,您可以使用 Amazon QuickSight 等工具导入和分析数据。有关更多信息,请参阅使用补丁合规性报告

注意

通过使用补丁策略生成的合规性项的执行类型为 PatchPolicy。补丁策略操作中未生成的合规项的执行类型为 Command

集成

Patch Manager 与以下其他 Amazon Web Services 服务集成在一起: