• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# Amazon Systems Manager Patch Manager
Patch Manager是 Amazon Systems Manager 中的一项工具,可使用安全相关更新及其他类型的更新自动执行修补托管式节点的过程。
**注意**
Systems Manager 为Quick Setup(Amazon Systems Manager 中的一项工具)中的*补丁策略*提供支持。建议使用补丁策略来配置修补操作。使用单一补丁策略配置,您可以为贵组织中所有区域的所有账户定义修补、仅为所选的账户和区域定义修补,或为单个账户区域对定义修补。有关更多信息,请参阅 [Quick Setup 中的补丁策略配置](patch-manager-policies.md)。
您可以使用 Patch Manager 来应用操作系统和应用程序的补丁。(在 Windows Server 上,应用程序支持仅限于更新 Microsoft 发布的应用程序。) 您可以使用 Patch Manager 在 Windows 节点上安装 Service Pack,并在 Linux 节点上执行次要版本升级。可以按操作系统类型对 Amazon Elastic Compute Cloud(Amazon EC2)实例、边缘设备或本地服务器和虚拟机(VM)的实例集进行修补。这包括多个操作系统的支持版本,如 [Patch Manager 先决条件](patch-manager-prerequisites.md)中所列。您可以扫描实例以仅查看缺失补丁的报告,也可以扫描并自动安装所有缺失的补丁。要开始使用 Patch Manager,请打开 [Systems Manager 控制台](https://console.amazonaws.cn//systems-manager/patch-manager)。在导航窗格中,请选择 **Patch Manager**。
在 Patch Manager 中提供补丁之前,Amazon 不会测试这些补丁。此外,Patch Manager 不支持升级操作系统的主要版本,例如,将 Windows Server 2016 升级到 Windows Server 2019,或将 Red Hat Enterprise Linux(RHEL)7.0 升级到 RHEL 8.0。
对于报告修补程序严重性级别的基于 Linux 的操作系统类型,Patch Manager 将软件发布者报告的严重性级别用于更新通知或单个修补程序。Patch Manager 不会从第三方来源(例如[常见漏洞评分系统](https://www.first.org/cvss/) (CVSS)),或者[国家漏洞数据库](https://nvd.nist.gov/vuln) (NVD) 发布的指标中获取严重性级别。
## 我的组织如何从 Patch Manager 获益?
Patch Manager 会使用安全相关更新及其他类型的更新自动执行修补托管式节点的过程。此功能有多个重要的好处:
+ **集中控制修补**:使用补丁策略,您可以为组织中所有区域的所有账户、特定账户和区域或者单个账户区域对设置定期修补操作。
+ **灵活的修补操作**:您可以选择通过扫描实例来仅查看缺失的补丁报告,也可以扫描并自动安装所有缺失的补丁。
+ **全面的合规性报告**:扫描操作完成后,您可以查看有关哪些托管式节点的补丁安装不合规以及缺失哪些补丁的详细信息。
+ **跨平台支持**:Patch Manager 支持多种操作系统,包括各种 Linux 发行版、macOS 和 Windows Server。
+ **自定义补丁基准**:您可以通过自定义补丁基准来指定批准安装的补丁,从而定义组织的补丁合规性要求。
+ **与其他 Amazon 服务集成**:Patch Manager 可与 Amazon Organizations、Amazon Security Hub CSPM、Amazon CloudTrail 和 Amazon Config 集成,从而加强管理和安全性。
+ **确定性升级**:通过提供 Amazon Linux 2023 等操作系统的多版本存储库,支持确定性升级要求。
## 谁应该使用 Patch Manager?
Patch Manager 适合以下人员使用:
+ 需要在跨托管式节点实例集保持补丁合规性的 IT 管理员
+ 需要清晰了解整个基础设施环境中补丁合规状态的运营经理
+ 需要大规模实施自动化修补解决方案的云架构师
+ 需要将补丁安装功能集成到运营工作流的 DevOps 工程师
+ 部署了多账户/多区域环境并且需要集中式补丁管理的组织
+ 任何负责维护 Amazon 托管式节点、边缘设备、本地服务器和虚拟机安全状况和运行状况的人员
## Patch Manager 的主要功能是什么?
Patch Manager 具有多个重要的功能:
+ **补丁策略**:通过与 Amazon Organizations 集成,使用单个策略来配置跨多个 Amazon Web Services 账户和区域的修补操作。
+ **自定义补丁基准**:定义在补丁发布后几天内自动批准补丁的规则,以及已批准和已拒绝的补丁列表。
+ **多种修补方法**:根据自己的具体需求选择补丁策略、维护时段或按需“立即修补”操作。
+ **合规性报告**:生成有关补丁合规状态的详细报告,并且可将报告以 CSV 格式发送到 Amazon S3 存储桶。
+ **跨平台支持**:可跨 Windows Server、多种 Linux 发行版和 macOS 修补操作系统和应用程序。
+ **灵活计划**:使用自定义 CRON 或 Rate 表达式设置不同的扫描和补丁安装计划。
+ **生命周期挂钩**:使用 Systems Manager 文档在修补操作之前和之后运行自定义脚本。
+ **侧重安全**:默认情况下,Patch Manager 侧重于安全相关更新,而不是安装所有可用补丁。
+ **速率控制**:为修补操作配置并发和错误阈值,从而尽可能减少对运营的影响。
## Patch Manager中的合规性是什么?
Amazon、操作系统 (OS) 供应商或安全咨询公司等第三方未定义 Systems Manager 实例集中托管节点的*补丁合规性*构成要素的基准测试。
相反,您可以在*补丁基准*中定义补丁合规性对于您的组织或账户中的托管节点意味着什么。补丁基准是一种配置,它指定必须在托管节点上安装哪些补丁的规则。当托管节点的所有补丁都符合您在补丁基准中指定的批准标准时,该节点即符合补丁要求。
请注意,*符合*补丁基准并不意味着托管节点一定是*安全*的。“合规”意味着补丁基准定义的*可用*且*已批准*的补丁已安装在节点上。托管节点的整体安全性由Patch Manager范围之外的许多因素决定。有关更多信息,请参阅 [Amazon Systems Manager 中的安全性](security.md)。
每个补丁基准都是针对特定受支持的操作系统 (OS) 类型的配置,例如 Red Hat Enterprise Linux (RHEL)、macOS 或 Windows Server。补丁基准可以为所有受支持的操作系统版本定义修补规则,或者也可以仅限于您指定的版本(例如 RHEL 7.8 和 RHEL 9.3)。
在补丁基准中,您可以指定批准安装特定类别和严重级别的所有补丁。例如,您可以包括归类为 `Security` 的所有补丁,但排除其他补丁(例如 `Bugfix` 或 `Enhancement`)。并且,您可以包括严重性为 `Critical` 的所有补丁,但排除其他补丁(例如 `Important` 和 `Moderate`)。
您还可以通过将补丁 ID 添加到要批准或拒绝的特定补丁列表中,在补丁基准中明确定义补丁,例如 Windows Server 的 `KB2736693` 或 Amazon Linux 2023 (AL2023) 的 `dbus.x86_64:1:1.12.28-1.amzn2023.0.1`。您可以选择指定补丁可用后等待修补的特定天数。对于 Linux 和 macOS,您可以选择指定合规性外部补丁列表(安装覆盖列表),而不是补丁基准规则定义的列表。
运行修补操作时,Patch Manager会将当前应用于托管节点的补丁与应根据补丁基准中设置的规则或安装覆盖列表应用的补丁进行比较。您可以选择让 Patch Manager 只显示缺失补丁的报告(`Scan` 操作),也可以选择让 Patch Manager 自动安装它发现的托管节点中缺失的所有补丁(`Scan and install` 操作)。
**注意**
补丁合规性数据代表最近一次成功修补操作的时间点快照。每个合规性报告都包含一个捕获时间,用于标识合规性状态的计算时间。在查看合规性数据时,请考虑捕获时间以确定操作是否按预期执行。
Patch Manager提供了可用于修补操作的预定义补丁基准;但是,这些预定义的配置仅作为示例提供,而不是推荐的最佳实践。我们建议您创建自己的自定义补丁基准,以便更好地控制您的实例集的补丁合规性构成要素。
有关补丁基准的更多信息,请参阅以下主题:
+ [预定义和自定义补丁基准](patch-manager-predefined-and-custom-patch-baselines.md)
+ [已批准补丁和已拒绝补丁列表的程序包名称格式](patch-manager-approved-rejected-package-name-formats.md)
+ [查看 Amazon 预定义补丁基准](patch-manager-view-predefined-patch-baselines.md)
+ [使用自定义补丁基准](patch-manager-manage-patch-baselines.md)
+ [使用补丁合规性报告](patch-manager-compliance-reports.md)
## 主要组件
在开始使用Patch Manager工具之前,您应该熟悉该工具的修补操作的一些主要组件和功能。
**补丁基准**
Patch Manager 使用*补丁基准*,该基准包含用于在补丁发布几天内自动批准补丁的规则以及一系列已批准和已拒绝的补丁。运行修补操作时,Patch Manager 会将当前应用于托管节点的补丁与应根据补丁基准中设置的规则应用的补丁进行比较。您可以选择让 Patch Manager 只显示缺失补丁的报告(`Scan` 操作),也可以选择让 Patch Manager 自动安装它发现的托管节点中缺失的所有补丁(`Scan and install` 操作)。
**修补操作方法**
Patch Manager 目前提供运行 `Scan` 和 `Scan and install` 操作的四种方法:
+ **(推荐)在 Quick Setup 中配置的补丁策略**:基于与 Amazon Organizations 的集成,单个补丁策略可以定义整个组织的修补计划和补丁基准(包括多个 Amazon Web Services 账户 和这些账户操作所在的 Amazon Web Services 区域)。补丁策略也可以仅针对组织中的某些组织单位(OU)。您可以使用单个补丁策略按不同的计划进行扫描安装。有关更多信息,请参阅[使用 Quick Setup 补丁策略为组织中的实例配置修补](quick-setup-patch-manager.md)和[Quick Setup 中的补丁策略配置](patch-manager-policies.md)。
+ **在 Quick Setup 中配置的主机管理选项**:与 Amazon Organizations 的集成还支持主机管理配置,从而可以对整个组织运行修补操作。但是,此选项仅限于使用当前默认补丁基准扫描缺失的补丁并在合规性报告中提供结果。此操作方法无法安装补丁。有关更多信息,请参阅 [使用 Quick Setup 设置 Amazon EC2 主机管理](quick-setup-host-management.md)。
+ **运行补丁 `Scan` 或 `Install` 任务的维护时段**:可以在 Systems Manager 的 Maintenance Windows 工具中设置维护时段,将其配置为按照您定义的计划运行不同类型的任务。Run Command 类型任务可用于运行 `Scan` 或 `Scan and install` 任务(用于您选择的一组托管节点)。每个维护时段任务只能针对单一 Amazon Web Services 账户-Amazon Web Services 区域 对中的托管节点。有关更多信息,请参阅 [教程:使用控制台创建修补的维护时段](maintenance-window-tutorial-patching.md)。
+ **Patch Manager 中的按需**立即修补**操作** – 使用**立即修补**选项,可以在需要尽快修补托管式节点时,绕过计划设置。使用 **Patch now**(立即修补),您可以指定是运行 `Scan` 还是 `Scan and install` 操作,以及要在哪些托管节点上运行该操作。您还可以选择在修补操作期间将 Systems Manager 文档(SSM 文档)作为生命周期挂钩运行。每个 **Patch now**(立即修补)操作只能针对单一 Amazon Web Services 账户-Amazon Web Services 区域 对中的托管节点。有关更多信息,请参阅 [按需修补托管式节点](patch-manager-patch-now-on-demand.md)。
**合规性报告**
`Scan` 操作完成后,可以使用 Systems Manager 控制台查看相关信息,了解哪些托管节点不满足补丁合规性以及每个节点缺少哪些补丁。也可以生成 .csv 格式的补丁合规性报告,发送到您选择的 Amazon Simple Storage Service(Amazon S3)存储桶。您可以生成一次性报告,也可以生成定期报告。对于单个托管式节点,报告包含节点所有补丁的详细信息。对于所有托管式节点的报告,仅提供缺少多少补丁的摘要。生成报告后,您可以使用 Amazon Quick 等工具导入和分析数据。有关更多信息,请参阅 [使用补丁合规性报告](patch-manager-compliance-reports.md)。
**注意**
通过使用补丁策略生成的合规性项的执行类型为 `PatchPolicy`。补丁策略操作中未生成的合规项的执行类型为 `Command`。
**集成**
Patch Manager 与以下其他 Amazon Web Services 服务 服务集成在一起:
+ **Amazon Identity and Access Management(IAM)**:使用 IAM 控制哪些用户、群组和角色有权访问 Patch Manager 操作。有关更多信息,请参阅 [Amazon Systems Manager 如何与 IAM 协同工作](security_iam_service-with-iam.md) 和[配置 Systems Manager 所需的实例权限](setup-instance-permissions.md)。
+ **Amazon CloudTrail**:使用 CloudTrail 记录由用户、角色或群组发起的修补操作事件历史记录以供审核。有关更多信息,请参阅 [使用 Amazon CloudTrail 记录 Amazon Systems Manager API 调用](monitoring-cloudtrail-logs.md)。
+ **Amazon Security Hub CSPM**:可将来自 Patch Manager 的补丁合规性数据发送到 Amazon Security Hub CSPM。Security Hub CSPM 能让您全面了解高优先级安全警报和合规性状态。它还监控您的实例集的修补状态。有关更多信息,请参阅 [将 Patch Manager 与 Amazon Security Hub CSPM 集成](patch-manager-security-hub-integration.md)。
+ **Amazon Config**:在 Amazon Config 中设置录制以在 Patch Manager 控制面板中查看 Amazon EC2 实例管理数据。有关更多信息,请参阅 [查看补丁程序控制面板摘要](patch-manager-view-dashboard-summaries.md)。
**Topics**
+ [我的组织如何从 Patch Manager 获益?](#how-can-patch-manager-benefit-my-organization)
+ [谁应该使用 Patch Manager?](#who-should-use-patch-manager)
+ [Patch Manager 的主要功能是什么?](#what-are-the-main-features-of-patch-manager)
+ [Patch Manager中的合规性是什么?](#patch-manager-definition-of-compliance)
+ [主要组件](#primary-components)
+ [Quick Setup 中的补丁策略配置](patch-manager-policies.md)
+ [Patch Manager 先决条件](patch-manager-prerequisites.md)
+ [Patch Manager 操作是如何工作的](patch-manager-patching-operations.md)
+ [适用于修补托管式节点的 SSM 命令文档](patch-manager-ssm-documents.md)
+ [补丁基准](patch-manager-patch-baselines.md)
+ [在 Amazon Linux 2 托管式节点上使用 Kernel Live Patching](patch-manager-kernel-live-patching.md)
+ [使用控制台处理 Patch Manager 资源和合规性](patch-manager-console.md)
+ [使用 Amazon CLI 处理 Patch Manager 资源使用](patch-manager-cli-commands.md)
+ [Amazon Systems Manager Patch Manager 教程](patch-manager-tutorials.md)
+ [排除 Patch Manager 问题](patch-manager-troubleshooting.md)