AWS::SSM::PatchBaseline - AWS CloudFormation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS::SSM::PatchBaseline

AWS::SSM::PatchBaseline 资源定义 AWS Systems Manager 补丁基准的基本信息。补丁基准定义批准在您的实例上安装的补丁。

有关更多信息,请参阅 AWS Systems Manager API 参考 中的 CreatePatchBaseline

语法

要在 AWS CloudFormation 模板中声明此实体,请使用以下语法:

JSON

{ "Type" : "AWS::SSM::PatchBaseline", "Properties" : { "ApprovalRules" : RuleGroup, "ApprovedPatches" : [ String, ... ], "ApprovedPatchesComplianceLevel" : String, "ApprovedPatchesEnableNonSecurity" : Boolean, "Description" : String, "GlobalFilters" : PatchFilterGroup, "Name" : String, "OperatingSystem" : String, "PatchGroups" : [ String, ... ], "RejectedPatches" : [ String, ... ], "RejectedPatchesAction" : String, "Sources" : [ PatchSource, ... ], "Tags" : [ Tag, ... ] } }

属性

ApprovalRules

一组用于在基准中包含补丁的规则。

必需:否

类型RuleGroup

Update requires: No interruption

ApprovedPatches

已明确批准的基准补丁的列表。

有关已批准的补丁和拒绝的补丁列表的已接受格式的信息,请参阅 AWS Systems Manager 用户指南 中的关于已批准的补丁和拒绝的补丁列表的包名称格式

必需:否

类型:字符串列表

最高50

Update requires: No interruption

ApprovedPatchesComplianceLevel

定义已批准的补丁的合规性级别。这意味着,如果已批准的补丁报告为缺失,则这是违反合规性的严重性。默认值为 UNSPECIFIED。

必需:否

类型:字符串

允许的值CRITICAL | HIGH | INFORMATIONAL | LOW | MEDIUM | UNSPECIFIED

Update requires: No interruption

ApprovedPatchesEnableNonSecurity

指示批准的补丁列表是否包含应该应用于实例的非安全性更新。默认值为‘false’。仅适用于 Linux 实例。

必需:否

类型:布尔值

Update requires: No interruption

Description

补丁基准的描述。

必需:否

类型:字符串

最低1

最高1024

Update requires: No interruption

GlobalFilters

一组用于在基准中包含补丁的全局筛选器。

必需:否

类型PatchFilterGroup

Update requires: No interruption

Name

补丁基准的名称。

必需:是

类型:字符串

最低3

最高128

模式^[a-zA-Z0-9_\-.]{3,128}$

Update requires: No interruption

OperatingSystem

定义补丁基准适用的操作系统。默认值为 WINDOWS。

必需:否

类型:字符串

允许的值AMAZON_LINUX | AMAZON_LINUX_2 | CENTOS | DEBIAN | ORACLE_LINUX | REDHAT_ENTERPRISE_LINUX | SUSE | UBUNTU | WINDOWS

Update requires: Replacement

PatchGroups

应注册到补丁基准的补丁组的名称。

必需:否

类型:字符串列表

最低1

最高256

模式^([\p{L}\p{Z}\p{N}_.:/=+\-@]*)$

Update requires: No interruption

RejectedPatches

明确已拒绝的基准补丁的列表。

有关已批准的补丁和拒绝的补丁列表的已接受格式的信息,请参阅 AWS Systems Manager 用户指南 中的关于已批准的补丁和拒绝的补丁列表的包名称格式

必需:否

类型:字符串列表

最高50

Update requires: No interruption

RejectedPatchesAction

Patch Manager 对包含在 RejectedPackages 列表中的补丁执行的操作。

  • ALLOW_AS_DEPENDENCY:只有在 RejectedPatches 列表中的程序包是另一个程序包的依赖项时,才会安装该程序包。将其视为符合补丁基准,并将状态报告为 InstalledOther。这是未指定选项时的默认操作。

  • BLOCK:在任何情况下,都不会安装 RejectedPatches 列表中的程序包以及包含它们以作为依赖项的程序包。如果在将程序包添加到 RejectedPatches 列表之前已安装该程序包,则将其视为不符合补丁基准并将状态报告为 InstalledRejected

必需:否

类型:字符串

允许的值ALLOW_AS_DEPENDENCY | BLOCK

Update requires: No interruption

Sources

有关用于更新实例的补丁的信息,包括目标操作系统和源存储库。仅适用于 Linux 实例。

必需:否

类型PatchSource 的列表

最高20

Update requires: No interruption

Tags

分配给资源的可选元数据。标签可让您按各种标准(如用途、所有者或环境)对资源进行分类。例如,您可能想要标记补丁基准来标识它指定的并应用到操作系统系列的补丁的严重性级别。

必需:否

类型Tag 的列表

最高1000

Update requires: No interruption

返回值

Ref

在将此资源的逻辑 ID 传递给内部 Ref 函数时,Ref 返回补丁基准 ID,例如 pb-abcde1234567890yz

注意

AWS 提供的默认补丁基准的 ID 是一个 ARN,例如 arn:aws:ssm:us-west-2:123456789012:patchbaseline/abcde1234567890yz

For more information about using the Ref function, see Ref.

示例

创建补丁基准

以下示例创建一个 Systems Manager 修补程序基准,该基准在 Microsoft 发布 Windows Server 2019 实例的修补程序 7 天后批准它们。修补程序基准还会在 Microsoft 发布 Active Directory 修补程序七天后批准这些修补程序。

{ "Resources": { "myPatchBaseline": { "Type": "AWS::SSM::PatchBaseline", "Properties": { "Name": "myPatchBaseline", "Description": "Baseline containing all updates approved for Windows instances", "OperatingSystem": "WINDOWS", "PatchGroups": [ "myPatchGroup" ], "ApprovalRules": { "PatchRules": [ { "PatchFilterGroup": { "PatchFilters": [ { "Values": [ "Critical", "Important", "Moderate" ], "Key": "MSRC_SEVERITY" }, { "Values": [ "SecurityUpdates", "CriticalUpdates" ], "Key": "CLASSIFICATION" }, { "Values": [ "WindowsServer2019" ], "Key": "PRODUCT" } ] }, "ApproveAfterDays": 7, "ComplianceLevel": "CRITICAL" }, { "PatchFilterGroup": { "PatchFilters": [ { "Values": [ "Critical", "Important", "Moderate" ], "Key": "MSRC_SEVERITY" }, { "Values": [ "*" ], "Key": "CLASSIFICATION" }, { "Values": [ "APPLICATION" ], "Key": "PATCH_SET" }, { "Values": [ "Active Directory Rights Management Services Client 2.0" ], "Key": "PRODUCT" }, { "Values": [ "Active Directory" ], "Key": "PRODUCT_FAMILY" } ] }, "ApproveAfterDays": 7, "ComplianceLevel": "CRITICAL" } ] } } } } }

YAML

--- Resources: myPatchBaseline: Type: AWS::SSM::PatchBaseline Properties: Name: myPatchBaseline Description: Baseline containing all updates approved for Windows instances OperatingSystem: WINDOWS PatchGroups: - myPatchGroup ApprovalRules: PatchRules: - PatchFilterGroup: PatchFilters: - Values: - Critical - Important - Moderate Key: MSRC_SEVERITY - Values: - SecurityUpdates - CriticalUpdates Key: CLASSIFICATION - Values: - WindowsServer2019 Key: PRODUCT ApproveAfterDays: 7 ComplianceLevel: CRITICAL - PatchFilterGroup: PatchFilters: - Values: - Critical - Important - Moderate Key: MSRC_SEVERITY - Values: - "*" Key: CLASSIFICATION - Values: - APPLICATION Key: PATCH_SET - Values: - Active Directory Rights Management Services Client 2.0 Key: PRODUCT - Values: - Active Directory Key: PRODUCT_FAMILY ApproveAfterDays: 7 ComplianceLevel: CRITICAL

另请参阅