关于适用于修补托管式节点的 SSM 文档 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

关于适用于修补托管式节点的 SSM 文档

本主题介绍了目前可用的九个 Systems Manager 文档(SSM 文档),有助于您保持为托管式节点提供最新的安全性相关更新补丁。

我们建议在修补操作中仅使用这些文档中的五个。结合使用这五个 SSM 文档,您即可获得使用 Amazon Systems Manager 进行修补的全部选项。其中有四个文档是在四个早期 SSM 文档之后发布的,替换了这四个早期文档,对功能进行了扩展和整合。

这五个推荐的 SSM 文档是:

  • AWS-ConfigureWindowsUpdate

  • AWS-InstallWindowsUpdates

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

四个早期 SSM 文档现在仍可在某些 Amazon Web Services 区域 中使用,但将来可能弃用,它们是:

  • AWS-ApplyPatchBaseline

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

请参考以下各节,了解有关如何在修补操作中使用这些 SSM 文档的更多信息。

建议在进行托管式节点的修补操作时使用以下五个 SSM 文档。

支持配置基本的 Windows 更新功能,并使用它们来自动安装更新 (或关闭自动更新)。在所有 Amazon Web Services 区域 中可用。

此 SSM 文档可提示 Windows 更新下载并安装指定的更新,并根据需要重启托管式节点。请将此文档与 State Manager ( Amazon Systems Manager 的一个功能)结合使用,确保 Windows 更新保持其配置。您也可以使用 Run Command ( Amazon Systems Manager 的一个功能)手动运行它,以更改 Windows 更新配置。

本文档中的可用参数支持指定要安装的更新类别 (或是否关闭自动更新),还支持指定在星期几的什么时间运行修补操作。如果您不需要对 Windows 更新进行严格控制,也不需要收集合规性信息,则此 SSM 文档最为有用。

替换早期 SSM 文档:

在 Windows Server 托管式节点上安装更新。在所有 Amazon Web Services 区域 中可用。

如果您希望安装指定更新 (使用 Include Kbs 参数),或希望安装特定类别或分类的补丁,但不需要补丁合规性信息,则此 SSM 文档可提供基本修补功能。

替换早期 SSM 文档:

  • AWS-FindWindowsUpdates

  • AWS-InstallMissingWindowsUpdates

  • AWS-InstallSpecificWindowsUpdates

这三个早期文档执行不同的功能,但您可以使用较新的 SSM 文档 AWS-InstallWindowsUpdates 的不同参数设置得到同样的结果。这些参数设置在 适用于修补托管式节点的旧 SSM 文档 中进行了介绍。

在托管式节点上安装补丁或扫描节点,以确定是否缺少任何符合条件的补丁。在所有 Amazon Web Services 区域 中可用。

AWS-RunPatchBaseline 允许您使用指定为操作系统类型的“默认”补丁基准来控制补丁批准。报告补丁合规性信息,您可以使用 Systems Manager 合规性工具进行查看。您可使用这些工具深入了解托管式节点的补丁合规性状态,例如哪些节点缺少补丁以及缺少哪些补丁。当您使用 AWS-RunPatchBaseline 时,将使用 PutInventory API 命令记录补丁合规性信息。对于 Linux 操作系统,为来自托管式节点上配置的默认源存储库和来自在自定义补丁基准中指定的任何备用源存储库的补丁提供合规性信息。有关备用源存储库的更多信息,请参阅如何指定备用补丁源存储库 (Linux)。有关 Systems Manager 合规性工具的更多信息,请参阅 Amazon Systems ManagerCompliance

替换早期文档:

  • AWS-ApplyPatchBaseline

旧文档 AWS-ApplyPatchBaseline 仅适用于 Windows Server 托管式节点,不提供应用程序修补支持。较新的 AWS-RunPatchBaseline 对 Windows 和 Linux 系统提供了同等支持。要使用 AWS-RunPatchBaseline 文档,需要版本 2.0.834.0 或 SSM Agent 的更高版本。

有关如何使用 AWS-RunPatchBaseline SSM 文档的更多信息,请参阅 关于 AWS-RunPatchBaseline SSM 文档

在实例上安装补丁,或扫描实例以确定是否缺少任何符合条件的补丁。在所有商业 Amazon Web Services 区域 中提供。

AWS-RunPatchBaselineAssociationAWS-RunPatchBaseline 的不同表现在几个重要方面:

  • AWS-RunPatchBaselineAssociation 主要用来和使用 Quick Setup ( Amazon Systems Manager 的一个功能)创建的关联一道使用。(当使用 Quick Setup 主机管理配置类型时,如果选择每天扫描实例以查找缺少的补丁,系统使用 AWS-RunPatchBaselineAssociation 用于操作。)

    但是,在大多数情况下,在设置您自己的修补操作时,应选择 AWS-RunPatchBaseline 或者 AWS-RunPatchBaselineWithHooks,而非 AWS-RunPatchBaselineAssociation

    有关更多信息,请参阅以下主题:

  • AWS-RunPatchBaselineAssociation 支持使用标签来标识在运行时使用哪个补丁基准来用于一组目标。

  • 对于使用 AWS-RunPatchBaselineAssociation 的修补操作,将按照特定的 State Manager 关联来编译补丁合规性数据。在运行 AWS-RunPatchBaselineAssociation 时收集的补丁合规性数据,使用 PutComplianceItems API 命令而不是 PutInventory 命令来记录。这样可以防止覆盖与此特定关联无关的合规性数据。

    对于 Linux 操作系统,为来自实例上配置的默认源存储库和来自您在自定义补丁基准中指定的任何备用源存储库的补丁提供合规性信息。有关备用源存储库的更多信息,请参阅如何指定备用补丁源存储库 (Linux)。有关 Systems Manager 合规性工具的更多信息,请参阅 Amazon Systems ManagerCompliance

替换早期文档:

有关如何使用 AWS-RunPatchBaselineAssociation SSM 文档的更多信息,请参阅 关于 AWS-RunPatchBaselineAssociation SSM 文档

在托管式节点上安装补丁或扫描节点,以确定是否缺少任何符合条件的补丁,您可以使用可选钩子在修补周期内在三个点运行 SSM 文档。在所有商业 Amazon Web Services 区域 中提供。

在其 Install 操作中,AWS-RunPatchBaselineWithHooks 不同于 AWS-RunPatchBaseline

AWS-RunPatchBaselineWithHooks 支持托管式节点修补期间在指定点运行的生命周期钩子。由于补丁安装有时需要重启托管式节点,修补操作分为两个事件,共有三个支持自定义功能的钩子。第一个钩子在 Install with NoReboot 操作之前。第二个钩子在 Install with NoReboot 操作之后。节点重启后,即可使用第三个钩子。

替换早期文档:

有关如何使用 AWS-RunPatchBaselineWithHooks SSM 文档的更多信息,请参阅 关于 AWS-RunPatchBaselineWithHooks SSM 文档

适用于修补托管式节点的旧 SSM 文档

在一些 Amazon Web Services 区域 中进行修补操作时仍可使用以下四个 SSM 文档。但是,将来它们可能会被弃用,因此不建议使用。请使用 用于修补托管式节点的推荐 SSM 文档 中介绍的文档。

AWS-ApplyPatchBaseline

仅支持 Windows Server 托管式节点,但不包括对在其替换文档 AWS-RunPatchBaseline 中找到的修补应用程序的支持。在 2017 年 8 月之后推出的 Amazon Web Services 区域 中不提供。

注意

此 SSM 文档 AWS-RunPatchBaseline 的替换文档需要版本 2.0.834.0 或 SSM Agent 的更高版本。可以使用 AWS-UpdateSSMAgent 文档将托管式节点更新为代理的最新版本。

AWS-FindWindowsUpdates

已被 AWS-InstallWindowsUpdates 取代,可执行所有相同的操作。在 2017 年 4 月之后推出的 Amazon Web Services 区域 中不提供。

要得到与这个早期 SSM 文档相同的结果,请使用推荐的替换文档 AWS-InstallWindowsUpdates 的以下参数配置:

  • Action = Scan

  • Allow Reboot = False

AWS-InstallMissingWindowsUpdates

已被 AWS-InstallWindowsUpdates 取代,可执行所有相同的操作。在 2017 年 4 月之后推出的所有 Amazon Web Services 区域 中均不提供。

要得到与这个早期 SSM 文档相同的结果,请使用推荐的替换文档 AWS-InstallWindowsUpdates 的以下参数配置:

  • Action = Install

  • Allow Reboot = True

AWS-InstallSpecificWindowsUpdates

已被 AWS-InstallWindowsUpdates 取代,可执行所有相同的操作。在 2017 年 4 月之后推出的所有 Amazon Web Services 区域 中均不提供。

要得到与这个早期 SSM 文档相同的结果,请使用推荐的替换文档 AWS-InstallWindowsUpdates 的以下参数配置:

  • Action = Install

  • Allow Reboot = True

  • Include Kbs = KB 文章的逗号分隔列表