在 AWS-RunPatchBaseline 中使用 InstallOverrideList 参数的示例场景 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 AWS-RunPatchBaseline 中使用 InstallOverrideList 参数的示例场景

您可以使用 InstallOverrideList 参数,以覆盖当前默认补丁基准指定的补丁。以下示例说明如何使用此参数来实现以下目标:

  • 将不同的补丁集应用于目标实例组。

  • 以不同频率应用这些补丁集。

  • 对这两个操作使用相同的补丁基准。

假设您要在 Amazon Linux 2 实例上安装两种不同类别的补丁。您希望使用维护时段按不同的计划安装这些补丁。您希望每周运行一个维护时段并安装所有 Security 补丁。您希望另一个维护时段每月运行一次,并安装所有可用的补丁或 Security 之外类别的补丁。

但是,一次只能将一个补丁基准定义为操作系统的默认值。此要求有助于避免一个补丁基准批准补丁而另一个补丁阻止补丁的情况,这种情况可能导致相互冲突的版本之间出现问题。

以下策略允许您使用 InstallOverrideList 参数按照不同的计划将不同类型的补丁应用到目标组,同时仍使用相同的补丁基准。

  1. 在默认补丁基准中,确保仅指定 Security 更新。

  2. 创建每周运行 AWS-RunPatchBaseline 的第一个维护时段。不要指定覆盖列表。

  3. 创建要每月应用的所有类型的补丁的覆盖列表,并将其存储在 Amazon S3 存储桶中。您可以修改以帮助创建补丁列表的示例脚本遵循此过程。

  4. 创建每月运行一次的第二个维护时段。但是,对于您为此维护时段注册的 Run Command 任务,请指定覆盖列表的位置。

结果:每个星期只安装默认补丁基准中定义的 Security 补丁。每月都会安装所有可用的补丁或您定义的任何补丁子集。