适用于修补托管式节点的 SSM 命令文档
本主题介绍了目前可用的九个 Systems Manager 文档(SSM 文档),有助于您保持为托管式节点提供最新的安全性相关更新补丁。
我们建议在修补操作中仅使用这些文档中的五个。结合使用这五个 SSM 文档,您即可获得使用 Amazon Systems Manager 进行修补的全部选项。其中有四个文档是在四个早期 SSM 文档之后发布的,替换了这四个早期文档,对功能进行了扩展和整合。
适用于修补的推荐 SSM 文档
我们建议在修补操作中使用以下五个 SSM 文档。
-
AWS-ConfigureWindowsUpdate
-
AWS-InstallWindowsUpdates
-
AWS-RunPatchBaseline
-
AWS-RunPatchBaselineAssociation
-
AWS-RunPatchBaselineWithHooks
适用于修补的旧版 SSM 文档
以下四个旧版 SSM 文档仍可在某些 Amazon Web Services 区域 中使用,但已不再更新,无法保证在所有场景中都能正常工作,将来可能不再受支持。不建议在修补操作中使用这些版本。
-
AWS-ApplyPatchBaseline
-
AWS-FindWindowsUpdates
-
AWS-InstallMissingWindowsUpdates
-
AWS-InstallSpecificWindowsUpdates
请参考以下各节,了解有关如何在修补操作中使用这些 SSM 文档的更多信息。
主题
用于修补托管式节点的推荐 SSM 文档
建议在进行托管式节点的修补操作时使用以下五个 SSM 文档。
推荐的 SSM 文档
AWS-ConfigureWindowsUpdate
支持配置基本的 Windows 更新功能,并使用它们来自动安装更新 (或关闭自动更新)。在所有 Amazon Web Services 区域 中可用。
此 SSM 文档可提示 Windows 更新下载并安装指定的更新,并根据需要重启托管式节点。将此文档与State Manager(Amazon Systems Manager 中的一项工具)结合使用,确保 Windows Update 保持其配置。您也可以使用 Run Command(Amazon Systems Manager 中的一项工具)手动运行该文档来更改 Windows Update 配置。
本文档中的可用参数支持指定要安装的更新类别 (或是否关闭自动更新),还支持指定在星期几的什么时间运行修补操作。如果您不需要对 Windows 更新进行严格控制,也不需要收集合规性信息,则此 SSM 文档最为有用。
替换早期 SSM 文档:
-
无
AWS-InstallWindowsUpdates
在 Windows Server 托管式节点上安装更新。在所有 Amazon Web Services 区域 中可用。
如果您希望安装指定更新 (使用 Include Kbs
参数),或希望安装特定类别或分类的补丁,但不需要补丁合规性信息,则此 SSM 文档可提供基本修补功能。
替换早期 SSM 文档:
-
AWS-FindWindowsUpdates
-
AWS-InstallMissingWindowsUpdates
-
AWS-InstallSpecificWindowsUpdates
这三个早期文档执行不同的功能,但您可以使用较新的 SSM 文档 AWS-InstallWindowsUpdates
的不同参数设置得到同样的结果。这些参数设置在 适用于修补托管式节点的旧 SSM 文档 中进行了介绍。
AWS-RunPatchBaseline
在托管式节点上安装补丁或扫描节点,以确定是否缺少任何符合条件的补丁。在所有 Amazon Web Services 区域 中可用。
AWS-RunPatchBaseline
允许您使用指定为操作系统类型的“默认”补丁基准来控制补丁批准。报告补丁合规性信息,您可以使用 Systems Manager 合规性工具进行查看。您可使用这些工具深入了解托管式节点的补丁合规性状态,例如哪些节点缺少补丁以及缺少哪些补丁。当您使用 AWS-RunPatchBaseline
时,将使用 PutInventory
API 命令记录补丁合规性信息。对于 Linux 操作系统,为来自托管式节点上配置的默认源存储库和来自在自定义补丁基准中指定的任何备用源存储库的补丁提供合规性信息。有关备用源存储库的更多信息,请参阅 如何指定备用补丁源存储库 (Linux)。有关 Systems Manager 合规性工具的更多信息,请参阅 Amazon Systems Manager Compliance。
替换早期文档:
-
AWS-ApplyPatchBaseline
旧文档 AWS-ApplyPatchBaseline
仅适用于 Windows Server 托管式节点,不提供应用程序修补支持。较新的 AWS-RunPatchBaseline
对 Windows 和 Linux 系统提供了同等支持。要使用 AWS-RunPatchBaseline
文档,需要版本 2.0.834.0 或 SSM Agent 的更高版本。
有关如何使用 AWS-RunPatchBaseline
SSM 文档的更多信息,请参阅 用于修补的 SSM 命令文档:AWS-RunPatchBaseline。
AWS-RunPatchBaselineAssociation
在实例上安装补丁,或扫描实例以确定是否缺少任何符合条件的补丁。在所有商业 Amazon Web Services 区域 中提供。
AWS-RunPatchBaselineAssociation
与 AWS-RunPatchBaseline
的不同表现在几个重要方面:
-
AWS-RunPatchBaselineAssociation
主要用于使用Quick Setup(Amazon Systems Manager 中的一项工具)创建的State Manager关联。具体来说,当使用 Quick Setup 主机管理配置类型时,如果选择每天扫描实例以查找缺少的补丁选项,系统将使用AWS-RunPatchBaselineAssociation
进行操作。但是,在大多数情况下,在设置您自己的修补操作时,应选择 AWS-RunPatchBaseline 或者 AWS-RunPatchBaselineWithHooks,而非
AWS-RunPatchBaselineAssociation
。有关更多信息,请参阅以下主题:
-
AWS-RunPatchBaselineAssociation
支持使用标签来标识在运行时使用哪个补丁基准来用于一组目标。 -
对于使用
AWS-RunPatchBaselineAssociation
的修补操作,将按照特定的 State Manager 关联来编译补丁合规性数据。在运行AWS-RunPatchBaselineAssociation
时收集的补丁合规性数据,使用PutComplianceItems
API 命令而不是PutInventory
命令来记录。这样可以防止覆盖与此特定关联无关的合规性数据。对于 Linux 操作系统,为来自实例上配置的默认源存储库和来自您在自定义补丁基准中指定的任何备用源存储库的补丁提供合规性信息。有关备用源存储库的更多信息,请参阅 如何指定备用补丁源存储库 (Linux)。有关 Systems Manager 合规性工具的更多信息,请参阅 Amazon Systems Manager Compliance。
替换早期文档:
-
无
有关如何使用 AWS-RunPatchBaselineAssociation
SSM 文档的更多信息,请参阅 用于修补的 SSM 命令文档:AWS-RunPatchBaselineAssociation。
AWS-RunPatchBaselineWithHooks
在托管式节点上安装补丁或扫描节点,以确定是否缺少任何符合条件的补丁,您可以使用可选钩子在修补周期内在三个点运行 SSM 文档。在所有商业 Amazon Web Services 区域 中提供。在 macOS 上不受支持。
在其 Install
操作中,AWS-RunPatchBaselineWithHooks
不同于 AWS-RunPatchBaseline
。
AWS-RunPatchBaselineWithHooks
支持托管式节点修补期间在指定点运行的生命周期钩子。由于补丁安装有时需要重启托管式节点,修补操作分为两个事件,共有三个支持自定义功能的钩子。第一个钩子先于 Install with NoReboot
操作。第二个钩子后于 Install with NoReboot
操作。节点重启后,即可使用第三个钩子。
替换早期文档:
-
无
有关如何使用 AWS-RunPatchBaselineWithHooks
SSM 文档的更多信息,请参阅 用于修补的 SSM 命令文档:AWS-RunPatchBaselineWithHooks。
适用于修补托管式节点的旧 SSM 文档
以下四个 SSM 文档仍可在某些 Amazon Web Services 区域 中使用。不过,这些版本已不再更新,将来可能不再受支持,因此不建议使用。请使用 用于修补托管式节点的推荐 SSM 文档 中介绍的文档。
早期 SSM 文档
AWS-ApplyPatchBaseline
仅支持 Windows Server 托管式节点,但不包括对在其替换文档 AWS-RunPatchBaseline
中找到的修补应用程序的支持。在 2017 年 8 月之后推出的 Amazon Web Services 区域 中不提供。
注意
此 SSM 文档 AWS-RunPatchBaseline
的替换文档需要版本 2.0.834.0 或 SSM Agent 的更高版本。可以使用 AWS-UpdateSSMAgent
文档将托管式节点更新为代理的最新版本。
AWS-FindWindowsUpdates
已被 AWS-InstallWindowsUpdates
取代,可执行所有相同的操作。在 2017 年 4 月之后推出的 Amazon Web Services 区域 中不提供。
要得到与这个早期 SSM 文档相同的结果,请使用推荐的替换文档 AWS-InstallWindowsUpdates
的以下参数配置:
-
Action
=Scan
-
Allow Reboot
=False
AWS-InstallMissingWindowsUpdates
已被 AWS-InstallWindowsUpdates
取代,可执行所有相同的操作。在 2017 年 4 月之后推出的所有 Amazon Web Services 区域 中均不提供。
要得到与这个早期 SSM 文档相同的结果,请使用推荐的替换文档 AWS-InstallWindowsUpdates
的以下参数配置:
-
Action
=Install
-
Allow Reboot
=True
AWS-InstallSpecificWindowsUpdates
已被 AWS-InstallWindowsUpdates
取代,可执行所有相同的操作。在 2017 年 4 月之后推出的所有 Amazon Web Services 区域 中均不提供。
要得到与这个早期 SSM 文档相同的结果,请使用推荐的替换文档 AWS-InstallWindowsUpdates
的以下参数配置:
-
Action
=Install
-
Allow Reboot
=True
-
Include Kbs
=KB 文章的逗号分隔列表