AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

创建自定义补丁基准

Patch Manager 包含用于 Patch Manager 支持的每个操作系统的预定义补丁基准。您可以利用这些补丁基准(您不能对其进行自定义),也可创建自己的补丁基准。以下过程介绍如何创建您自己的自定义补丁基准。要了解有关补丁基准的更多信息,请参阅 关于预定义和自定义补丁基准

根据您使用的操作系统的类型 Windows 或 Linux,使用以下过程之一。

注意

您还可以使用 Amazon EC2 Systems Manager 控制台创建补丁基准。但是,此旧版本的 Systems Manager 缺少很多最新功能,会在将来试用。

创建自定义补丁基准 (Windows)

  1. https://console.www.amazonaws.cn/systems-manager/ 上打开 AWS Systems Manager 控制台。

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果 AWS Systems Manager 主页首先打开,请选择菜单图标 ( ) 以打开导航窗格,然后选择 Patch Manager

  3. 选择创建补丁基准

  4. Name (名称) 中,输入新补丁基准的名称,例如,MyWindowsPatchBaseline

  5. (可选)输入此补丁基准的描述。

  6. 对于 Operating system (操作系统),选择 Windows

  7. 如果要在创建后即开始将此补丁基准用作 Windows 的默认项,请选择 Make this the default patch baseline for Windows Server (将此补丁基准作为 Windows Server 的默认补丁基准)

    如果您选择不将此补丁基准设置为现在使用的补丁基准,则可以以后再设置。有关信息,请参阅 将现有补丁基准设置为默认项

  8. Approval rules for Windows Server (Windows Server 的批准规则) 部分,使用字段创建一个或多个自动批准规则。

    • Product (产品):批准规则适用于的操作系统的版本,例如 WindowsServer2008。默认选择为 All

    • Classification (分类):批准规则适用于的补丁的类型,例如 CriticalUpdates。默认选择为 All

    • Severity (严重性):规则适用于的补丁的严重性值,例如 Critical。默认选择为 All

    • 自动批准延迟:发布补丁后到自动批准补丁前等待的天数。可以输入零 (0) 到 100 的任何整数。

    • (可选)Compliance level (合规性级别):要分配给基准批准的补丁的严重性级别,例如 High

      注意

      如果有已批准的补丁报告为缺失,则在 Compliance level (合规性级别) 中选择的选项(如 CriticalMedium)将确定违反合规性的严重性。

  9. Approval rules for Microsoft applications (Microsoft 应用程序的批准规则) 部分,使用字段创建一个或多个自动批准规则。

    • Product family (产品系列):您要为其指定规则的一般 Microsoft 产品系列,如 Office 或 Exchange Server。

    • Product (产品):批准规则适用于的应用程序的版本,如 Office 2016 或 OfficeActive Directory Rights Management Services Client 2.0 2016。默认选择为 All。

    • Classification (分类):批准规则适用于的补丁的类型,例如 CriticalUpdates。默认选择为 All

    • Severity (严重性):规则适用于的补丁的严重性值,如 Critical。默认选择为 All

    • 自动批准延迟:发布补丁后到自动批准补丁前等待的天数。可以输入零 (0) 到 100 的任何整数。

    • (可选)Compliance level (合规性级别):要分配给基准批准的补丁的严重性级别,例如 High

      注意

      如果有已批准的补丁报告为缺失,则在 Compliance level (合规性级别) 中选择的选项(如 CriticalMedium)将确定违反合规性的严重性。

  10. 如果要明确批准除满足批准规则的补丁外的任何补丁,请在 Patch exceptions (补丁例外) 部分执行以下操作:

    • 对于 Approved patches (已批准的补丁),输入要批准的补丁的逗号分隔列表。

      注意

      有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式

    • (可选)对于 Approved patches compliance level (已批准补丁合规性级别),为列表中的补丁分配合规性级别。

  11. 如果要明确拒绝除满足批准规则的补丁外的任何补丁,请在 Patch exceptions (补丁例外) 部分执行以下操作:

    • 对于 Rejected patches (已拒绝的补丁),输入要拒绝的补丁的逗号分隔列表。

      注意

      有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式

    • 对于 Rejected patches action (已拒绝的补丁操作),选择 Patch Manager 要对 Rejected patches (已拒绝的补丁) 列表中包含的补丁采取的操作。

      • Allow as dependency (允许作为依赖项):仅当 Rejected patches (已拒绝的补丁) 列表中的软件包是另一个软件包的依赖项时,才安装它。它被视为符合补丁基准,并且它的状态报告为 InstalledOther。这是未指定选项时的默认操作。

      • Block (阻止):在任何情况下都不安装 Rejected patches (已拒绝的补丁) 列表中的软件包以及包含它们作为依赖项的软件包。如果在将程序包添加到 RejectedPatches 列表之前已安装该程序包,则将其视为不符合补丁基准并将状态报告为 InstalledRejected

创建自定义补丁基准 (Linux)

  1. https://console.www.amazonaws.cn/systems-manager/ 上打开 AWS Systems Manager 控制台。

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果 AWS Systems Manager 主页首先打开,请选择菜单图标 ( ) 以打开导航窗格,然后选择 Patch Manager

  3. 在补丁基准列表中,选择要修补的操作系统的预定义补丁基准的名称。

  4. 选择批准规则选项卡。

    如果实例接受自动批准规则,可跳至下一过程创建补丁组

    -或者-

    要创建自定义补丁基准,请在导航窗格中,选择 Patch Manager,然后选择 Create patch baseline (创建补丁基准)

  5. Name (名称) 中,输入新补丁基准的名称,例如,MyRHELPatchBaseline

  6. (可选)输入此补丁基准的描述。

  7. 对于 Operating system (操作系统),选择操作系统,例如 Red Hat Enterprise Linux

  8. 如果要在创建后即开始将此补丁基准用作所选操作系统的默认项,请选中 Make this the default patch baseline for the selected operating system (将此补丁基准作为所选操作系统的默认补丁基准) 框。

    有关将现有补丁基准设置为默认项的信息,请参阅 将现有补丁基准设置为默认项

  9. Approval rules for operating-system (<操作系统> 的批准规则) 部分,使用字段创建一个或多个自动批准规则。

    • Product (产品):批准规则适用于的操作系统的版本,例如 RedhatEnterpriseLinux7.4。默认选择为 All

    • Classification (分类):批准规则适用于的补丁的类型,例如 Security。默认选择为 All

    • Severity (严重性):规则适用于的补丁的严重性值,例如 Critical。默认选择为 All

    • 自动批准延迟:发布补丁后到自动批准补丁前等待的天数。可以输入零 (0) 到 100 的任何整数。

    • (可选)Compliance level (合规性级别):要分配给基准批准的补丁的严重性级别,例如 High

      注意

      如果有已批准的补丁报告为缺失,则在 Compliance level (合规性级别) 中选择的选项(如 CriticalMedium)将确定违反合规性的严重性。

    • Include non-security updates (包括非安全性更新):选中此复选框,除了可以安装与安全性相关的补丁外,还可以安装源存储库中提供的非安全性 Linux 操作系统补丁。

      注意

      对于 SUSE Linux Enterprise Server (SLES),无需选中此复选框,因为 SLES 实例上默认安装针对安全性和非安全性问题的补丁。有关更多信息,请参阅如何选择安全性补丁中的 SLES 内容。

    有关在自定义补丁基准中使用批准规则的更多信息,请参阅关于自定义基准

  10. 如果要明确批准除满足批准规则的补丁外的任何补丁,请在 Patch exceptions (补丁例外) 部分执行以下操作:

    • 对于 Approved patches (已批准的补丁),输入要批准的补丁的逗号分隔列表。

      注意

      有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式

    • (可选)对于 Approved patches compliance level (已批准补丁合规性级别),为列表中的补丁分配合规性级别。

    • 如果您指定的任何已批准的补丁与安全性无关,请选中 Approved patches include non-security updates (已批准的补丁包括非安全性更新) 框以也会在 Linux 操作系统上安装这些补丁。

  11. 如果要明确拒绝除满足批准规则的补丁外的任何补丁,请在 Patch exceptions (补丁例外) 部分执行以下操作:

    • 对于 Rejected patches (已拒绝的补丁),输入要拒绝的补丁的逗号分隔列表。

      注意

      有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式

    • 对于 Rejected patches action (已拒绝的补丁操作),选择 Patch Manager 要对 Rejected patches (已拒绝的补丁) 列表中包含的补丁采取的操作。

      • Allow as dependency (允许作为依赖项):仅当 Rejected patches (已拒绝的补丁) 列表中的软件包是另一个软件包的依赖项时,才安装它。它被视为符合补丁基准,并且它的状态报告为 InstalledOther。这是未指定选项时的默认操作。

      • Block (阻止):在任何情况下都不安装 Rejected patches (已拒绝的补丁) 列表中的软件包以及包含它们作为依赖项的软件包。如果在将程序包添加到 RejectedPatches 列表之前已安装该程序包,则将其视为不符合补丁基准并将状态报告为 InstalledRejected

  12. (可选)如果您要为不同版本的操作系统 (如 AmazonLinux2016.03AmazonLinux2017.09) 指定备用补丁存储库,请为 Patch sources (补丁来源) 部分中的每个产品执行以下操作:

    • Name (名称) 中,输入名称以帮助您标识源配置。

    • Product (产品) 中,选择补丁源存储库适用于的操作系统的版本,例如 RedhatEnterpriseLinux7.4

    • 配置中,输入要使用的 yum 存储库配置的值。例如:

      [main] cachedir=/var/cache/yum/$basesearch$releasever keepcache=0 debuglevel=2

      选择添加其他来源来为每个其他操作系统版本指定源存储库,最多 20 个。

      有关备用源补丁存储库的更多信息,请参阅如何指定备用补丁源存储库 (Linux)

  13. (可选)对于管理标签,将一个或多个标签键名称/值对应用到补丁基准。

    标签是您分配给资源的可选元数据。标签可让您按各种标准(如用途、所有者或环境)对资源进行分类。例如,您可能想要标记补丁基准来标识它指定的并应用到操作系统系列的补丁的严重性级别。在这种情况下,您可以指定类似于以下键名称/值对的标签:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=Windows

  14. 选择创建补丁基准