AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如何安装补丁

Patch Manager 使用操作系统类型的相应内置机制在实例上安装更新。例如,在 Windows 上,使用 Windows Update API;在 Amazon Linux 上,则使用 yum 软件包管理器。

请从以下选项卡中进行选择,了解 Patch Manager 如何在操作系统上安装补丁。

WindowsAmazon Linux and Amazon Linux 2RHELUbuntuSLESCentOS
Windows

在 Windows 实例上执行修补操作时,实例从 Systems Manager 请求相应补丁基准的快照。此快照包含已批准部署的补丁基准中可用的所有更新的列表。将更新列表发送到 Windows Update API,Windows Update API 确定哪些更新适用于实例并根据需要进行安装。如果安装了任意更新,则根据完成所有必要修补所需的次数重启实例。可在 Run Command 请求输出中找到修补操作摘要。其他日志可在实例上的 %PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs 文件夹中找到。

因为使用 Windows Update API 下载和安装补丁,所以操作遵循 Windows Update 的所有组策略设置。使用 Patch Manager 时不必进行任何组策略设置,但已定义的任何设置都有效,例如,将实例定向到 Windows Server Update Services (WSUS) 服务器。

注意

默认情况下,Windows 从 Microsoft 的 Windows Update 站点下载所有补丁,这是因为 Patch Manager 使用 Windows Update API 驱动补丁的下载和安装。因此,实例必须能够访问 Microsoft Windows Update 站点,否则修补将失败。或者,您也可以将 WSUS 服务器配置为补丁存储库,然后使用组策略将实例配置为定位到此 WSUS 服务器。

Amazon Linux and Amazon Linux 2

在 Amazon Linux 和 Amazon Linux 2 实例上,补丁安装工作流程如下:

  1. 依照补丁基准中的规定应用 GlobalFilters,只保留符合资格的软件包做进一步处理。

  2. 依照补丁基准中的规定应用 ApprovalRules。每条批准规则可以将一个软件包定义为已批准。

  3. 依照补丁基准中的规定应用 ApprovedPatches。已批准的补丁即使被 GlobalFilters 丢弃,也会批准更新;如果 ApprovalRules 中未指定任何批准规则,则给予批准。

  4. 依照补丁基准中的规定应用 RejectedPatches。从已批准的补丁列表中删除已拒绝的补丁,并且不会应用已拒绝的补丁。

  5. 如果批准了补丁的多个版本,则应用最新版本。

  6. 对已批准的补丁应用 YUM 更新 API,如下所示:

    • 对于 AWS 提供的预定义的默认补丁基准,以及 Approved patches include non-security updates (已批准的补丁包括非安全性更新) 复选框选中的自定义补丁基准,则仅应用 updateinfo.xml 中指定的补丁(仅安全性更新)。

      此工作流程的等效 yum 命令为:

      sudo yum update-minimal --sec-severity=critical,important --bugfix
    • 对于 Approved patches include non-security updates (已批准的补丁包括非安全性更新) 选中的自定义补丁基准,updateinfo.xml 中的补丁和未在 updateinfo.xml 中的补丁都会应用(安全性和非安全性更新)。

      此工作流程的等效 yum 命令为:

      sudo yum update --security --bugfix
  7. 如果安装了任意更新,则重启实例。

RHEL

在 Red Hat Enterprise Linux 实例上,补丁安装工作流程如下:

  1. 依照补丁基准中的规定应用 GlobalFilters,只保留符合资格的软件包做进一步处理。

  2. 依照补丁基准中的规定应用 ApprovalRules。每条批准规则可以将一个软件包定义为已批准。

  3. 依照补丁基准中的规定应用 ApprovedPatches。已批准的补丁即使被 GlobalFilters 丢弃,也会批准更新;如果 ApprovalRules 中未指定任何批准规则,则给予批准。

  4. 依照补丁基准中的规定应用 RejectedPatches。从已批准的补丁列表中删除已拒绝的补丁,并且不会应用已拒绝的补丁。

  5. 如果批准了补丁的多个版本,则应用最新版本。

  6. 对已批准的补丁应用 YUM 更新 API,如下所示:

    • 对于 AWS 提供的预定义的默认补丁基准,以及 Approved patches include non-security updates (已批准的补丁包括非安全性更新) 复选框选中的自定义补丁基准,则仅应用 updateinfo.xml 中指定的补丁(仅安全性更新)。

      此工作流程的等效 yum 命令为:

      sudo yum update-minimal --sec-severity=critical,important --bugfix
    • 对于 Approved patches include non-security updates (已批准的补丁包括非安全性更新) 选中的自定义补丁基准,updateinfo.xml 中的补丁和未在 updateinfo.xml 中的补丁都会应用(安全性和非安全性更新)。

      此工作流程的等效 yum 命令为:

      sudo yum update --security --bugfix
  7. 如果安装了任意更新,则重启实例。

Ubuntu

在 Ubuntu Server 实例上,补丁安装工作流程如下:

  1. 依照补丁基准中的规定应用 GlobalFilters,只保留符合资格的软件包做进一步处理。

  2. 依照补丁基准中的规定应用 ApprovalRules。每条批准规则可以将一个软件包定义为已批准。此外,还应用了一条隐式规则,以便只选择在安全存储库中有升级的软件包。对于每个软件包,软件包的候选版本 (通常为最新版本) 必须包含在安全存储库中。

  3. 依照补丁基准中的规定应用 ApprovedPatches。已批准的补丁即使被 GlobalFilters 丢弃,也会批准更新;如果 ApprovalRules 中未指定任何批准规则,则给予批准。

  4. 依照补丁基准中的规定应用 RejectedPatches。从已批准的补丁列表中删除已拒绝的补丁,并且不会应用已拒绝的补丁。

  5. 使用 APT 库升级软件包。

  6. 如果安装了任意更新,则重启实例。

SLES

在 SUSE Linux Enterprise Server (SLES) 实例上,补丁安装工作流程如下:

  1. 依照补丁基准中的规定应用 GlobalFilters,只保留符合资格的软件包做进一步处理。

  2. 依照补丁基准中的规定应用 ApprovalRules。每条批准规则可以将一个软件包定义为已批准。

  3. 依照补丁基准中的规定应用 ApprovedPatches。已批准的补丁即使被 GlobalFilters 丢弃,也会批准更新;如果 ApprovalRules 中未指定任何批准规则,则给予批准。

  4. 依照补丁基准中的规定应用 RejectedPatches。从已批准的补丁列表中删除已拒绝的补丁,并且不会应用已拒绝的补丁。

  5. 如果批准了补丁的多个版本,则应用最新版本。

  6. 对已批准的补丁应用 Zypper 更新 API。

  7. 如果安装了任意更新,则重启实例。

CentOS

在 CentOS 实例上,补丁安装工作流程如下:

  1. 依照补丁基准中的规定应用 GlobalFilters,只保留符合资格的软件包做进一步处理。

  2. 依照补丁基准中的规定应用 ApprovalRules。每条批准规则可以将一个软件包定义为已批准。

  3. 依照补丁基准中的规定应用 ApprovedPatches。已批准的补丁即使被 GlobalFilters 丢弃,也会批准更新;如果 ApprovalRules 中未指定任何批准规则,则给予批准。

  4. 依照补丁基准中的规定应用 RejectedPatches。从已批准的补丁列表中删除已拒绝的补丁,并且不会应用已拒绝的补丁。

  5. 如果批准了补丁的多个版本,则应用最新版本。

  6. 对已批准的补丁应用 YUM 更新 API。

  7. 如果安装了任意更新,则重启实例。