使用 Quick Setup 补丁策略 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Quick Setup 补丁策略

自 2022 年 12 月 22 日起,将Patch Manager提供一种新的推荐方法, Amazon Web Services 账户 通过使用补丁策略为您的组织配置补丁

补丁策略是您使用 Quick Setup 设置的一项配置,是 Amazon Systems Manager 的一项功能。与以前配置修补的方法相比,补丁策略可以对修补操作进行更广泛、更集中的控制。补丁策略可用于 Patch Manager 支持的所有操作系统,包括支持的 Linux、macOS和 Windows Server 版本。有关创建补丁策略的信息,请参阅 Patch Manager 组织修补配置

补丁策略的主要功能

与其使用其他方法修补您的节点,不如使用补丁策略来利用以下主要功能:

  • 单一设置:若使用维护时段或 State Manager 关联设置修补操作,可能需要在 Systems Manager 控制台的不同部分执行多项任务。使用补丁策略,可以在单个向导中设置所有修补操作。

  • 多账户/多区域支持 — 使用中的维护窗口、State Manager关联或 Patch now 功能Patch Manager,您只能在单对中定位托管节点。 Amazon Web Services 账户 Amazon Web Services 区域 如果您使用多个账户和多个区域,则设置和维护任务可能需要大量时间,因为您必须在每个账户—区域对中执行设置任务。但是,如果您使用 Amazon Organizations,则可以设置一个适用于所有托管节点的补丁策略 Amazon Web Services 账户。 Amazon Web Services 区域 或者,您也可以选择把补丁策略只应用于您选择的账户和区域中的某些组织单位 (OU)。还可以选择把补丁策略应用于单个本地账户。

  • 组织层面的安装支持:Quick Setup 中的现有主机管理配置选项支持对托管节点进行每日扫描,以确定是否满足补丁合规性。但是,要在预定时间完成此扫描,且只生成补丁合规信息。不执行补丁安装。使用补丁策略,您可以指定不同的扫描和安装计划。您还可使用自定义的 CRON 或 Rate 表达式来选择这些操作的频率和时间。例如,您可以每天扫描缺失的补丁,以便为您提供定期更新的合规信息。但是,为了避免不必要的停机,您的安装计划可能仅为每周一次。

  • 简化的补丁基准选择:补丁策略仍包含补丁基准,补丁基准的配置方式不变。但是,在创建或更新补丁策略时,可以在单个列表中为每种操作系统 (OS) 类型选择要使用的 Amazon 托管基准或自定义基准。无需在单独的任务中为每种操作系统类型指定默认基准。

注意

在运行基于补丁策略的修补操作时,他们使用的是 AWS-RunPatchBaseline SSM 文档。有关更多信息,请参阅关于 AWS-RunPatchBaseline SSM 文档

与补丁策略的其他区别

相比以前配置修补的方法,使用补丁策略时需要注意一些其他差异:

  • 无需补丁组:在以前的修补操作中,您可以将多个节点标记为属于一个补丁组,然后指定用于该补丁组的补丁基准。如果没有定义补丁组,Patch Manager 使用操作系统类型当前默认的补丁基准修补实例。使用补丁策略则不再需要设置和维护补丁组。

  • 已删除“配置修补”页面:在补丁策略发布之前,您可以在 Configure patching(配置修补)页面上指定要修补哪些节点的默认值、修补计划和修补操作。此页面已从 Patch Manager 中删除。现在已在补丁策略中指定这些选项。

  • 没有 “立即修补” 支持 — 按需修补节点的能力仍然仅限于一次 Amazon Web Services 账户只能Amazon Web Services 区域 有一对。有关信息,请参阅 按需修补托管式节点

  • 补丁策略和合规信息:在根据修补策略配置扫描托管节点是否合规时,系统将为您提供合规数据。您可以像使用其他合规性扫描方法一样查看并处理数据。尽管您可以为整个组织或多个组织单位设置补丁策略,但会单独报告每 Amazon Web Services 账户Amazon Web Services 区域 对的合规性信息。有关更多信息,请参阅使用补丁合规性报告

  • 关联合规性状态和补丁策略-受补丁策略下的托管节点的Quick Setup修补状态与该节点的State Manager关联执行状态相匹配。如果关联执行状态为Compliant,则还会标记Compliant托管节点的修补状态。如果关联执行状态为Non-Compliant,则还会标记Non-Compliant托管节点的修补状态。

Amazon Web Services 区域 支持补丁策略

以下区域当前支持 Quick Setup 中的补丁策略配置:

  • 美国东部(俄亥俄州)(us-east-2)

  • 美国东部(弗吉尼亚州北部)(us-east-1)

  • 美国西部(北加利福尼亚)(us-west-1)

  • 美国西部(俄勒冈州)(us-west-2)

  • 亚太地区(孟买)(ap-south-1)

  • 亚太地区(首尔)(ap-northeast-2)

  • 亚太地区(新加坡)(ap-southeast-1)

  • 亚太地区(悉尼)(ap-southeast-2)

  • 亚太地区(东京)(ap-northeast-1)

  • 加拿大(中部)(ca-central-1)

  • 欧洲地区(法兰克福)(eu-central-1)

  • 欧洲地区(爱尔兰)(eu-west-1)

  • 欧洲(伦敦)(eu-west-2)

  • 欧洲地区(巴黎)(eu-west-3)

  • 欧洲地区(斯德哥尔摩)(eu-north-1)

  • 南美洲(圣保罗)(sa-east-1)