• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# Quick Setup 中的补丁策略配置
<a name="patch-manager-policies"></a>

Amazon 建议使用*补丁策略*为组织和 Amazon Web Services 账户配置补丁。补丁政策于 2022 年 12 月在Patch Manager中推出。

补丁策略是您使用Quick Setup（Amazon Systems Manager 中的一项工具）设置的一项配置。与以前配置修补的方法相比，补丁策略可以对修补操作进行更广泛、更集中的控制。补丁策略可用于 [Patch Manager 支持的所有操作系统](patch-manager-prerequisites.md#pm-prereqs)，包括支持的 Linux、macOS和 Windows Server 版本。有关创建补丁策略的说明，请参阅 [使用 Quick Setup 补丁策略为组织中的实例配置修补](quick-setup-patch-manager.md)。

## 补丁策略的主要功能
<a name="patch-policies-about-major-features"></a>

与其使用其他方法修补您的节点，不如使用补丁策略来利用以下主要功能：
+ **单一设置**：若使用维护时段或 State Manager 关联设置修补操作，可能需要在 Systems Manager 控制台的不同部分执行多项任务。使用补丁策略，可以在单个向导中设置所有修补操作。
+ **多账户/多区域支持**：使用 Patch Manager 中的维护时段、State Manager关联或 **Patch now**（立即修补）功能，您只能针对一个 Amazon Web Services 账户 与 Amazon Web Services 区域 对中的托管节点。如果您使用多个账户和多个区域，则设置和维护任务可能需要大量时间，因为您必须在每个账户—区域对中执行设置任务。但是，如果您使用 Amazon Organizations，则可以在您的所有 Amazon Web Services 账户 的所有 Amazon Web Services 区域 设置一个应用于所有托管节点的补丁策略。或者，您也可以选择把补丁策略只应用于您选择的账户和区域中的某些组织单位 (OU)。还可以选择把补丁策略应用于单个本地账户。
+ **组织层面的安装支持**：Quick Setup 中的现有主机管理配置选项支持对托管节点进行每日扫描，以确定是否满足补丁合规性。但是，要在预定时间完成此扫描，且只生成补丁合规信息。不执行补丁安装。使用补丁策略，您可以指定不同的扫描和安装计划。您还可使用自定义的 CRON 或 Rate 表达式来选择这些操作的频率和时间。例如，您可以每天扫描缺失的补丁，以便为您提供定期更新的合规信息。但是，为了避免不必要的停机，您的安装计划可能仅为每周一次。
+ **简化的补丁基准选择**：补丁策略仍包含补丁基准，补丁基准的配置方式不变。但是，在创建或更新补丁策略时，可以在单个列表中为每种操作系统（OS）类型选择要使用的 Amazon 托管或自定义基准。无需在单独的任务中为每种操作系统类型指定默认基准。

**注意**  
在运行基于补丁策略的修补操作时，他们使用的是 `AWS-RunPatchBaseline` SSM 文档。有关更多信息，请参阅 [用于修补的 SSM 命令文档：`AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md)。

## 与补丁策略的其他区别
<a name="patch-policies-about-other-features"></a>

相比以前配置修补的方法，使用补丁策略时需要注意一些其他差异：
+ **无需补丁组**：在以前的修补操作中，您可以将多个节点标记为属于一个补丁组，然后指定用于该补丁组的补丁基准。如果没有定义补丁组，Patch Manager 使用操作系统类型当前默认的补丁基准修补实例。使用补丁策略则不再需要设置和维护补丁组。
**注意**  
对于在 2022 年 12 月 22 日发布补丁策略支持之前尚未使用补丁组的账户-区域对，控制台不支持补丁组功能。补丁组功能在此日期之前开始使用补丁组的账户区域对中仍然可用。
+ **已删除“配置修补”页面**：在补丁策略发布之前，您可以在 **Configure patching**（配置修补）页面上指定要修补哪些节点的默认值、修补计划和修补操作。此页面已从 Patch Manager 中删除。现在已在补丁策略中指定这些选项。
+ **不支持“立即修补”**：按需修补节点的能力仍然仅限于每次一个 Amazon Web Services 账户 - Amazon Web Services 区域 对。有关信息，请参阅[按需修补托管式节点](patch-manager-patch-now-on-demand.md)。
+ **补丁策略和合规信息**：在根据修补策略配置扫描托管节点是否合规时，系统将为您提供合规数据。您可以像使用其他合规性扫描方法一样查看并处理数据。尽管您可以为整个组织或多个组织单位设置补丁策略，但会单独报告每个 Amazon Web Services 账户 - Amazon Web Services 区域 对的合规信息。有关更多信息，请参阅 [使用补丁合规性报告](patch-manager-compliance-reports.md)。
+ **关联合规性状态和补丁策略** – Quick Setup 补丁策略下的托管式节点的修补状态与该节点的 State Manager 关联执行状态相匹配。如果关联执行状态为 `Compliant`，则还会将托管式节点的修补状态标记为 `Compliant`。如果关联执行状态为 `Non-Compliant`，则还会将托管式节点的修补状态标记为 `Non-Compliant`。

## 补丁策略支持的 Amazon Web Services 区域
<a name="patch-policies-supported-regions"></a>

以下区域当前支持 Quick Setup 中的补丁策略配置：
+ 美国东部（俄亥俄州）(us-east-2)
+ 美国东部（弗吉尼亚州北部）(us-east-1)
+ 美国西部（北加利福尼亚）(us-west-1)
+ 美国西部（俄勒冈州）(us-west-2)
+ 亚太地区（孟买）(ap-south-1)
+ 亚太地区（首尔）(ap-northeast-2)
+ 亚太地区（新加坡）(ap-southeast-1)
+ 亚太地区（悉尼）(ap-southeast-2)
+ 亚太地区（东京）(ap-northeast-1)
+ 加拿大（中部）(ca-central-1)
+ 欧洲地区（法兰克福）(eu-central-1)
+ 欧洲地区（爱尔兰）(eu-west-1)
+ 欧洲地区（伦敦）(eu-west-2)
+ 欧洲地区（巴黎）（eu-west-3）
+ 欧洲地区（斯德哥尔摩）(eu-north-1)
+ 南美洲（圣保罗）（sa-east-1）