关于预定义和自定义补丁基准 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于预定义和自定义补丁基准

补丁基准定义批准在您的实例上安装的补丁。您可以逐个指定批准或拒绝的补丁。也可以创建自动批准规则,指定应自动批准的某些更新类型 (例如重要更新)。拒绝补丁列表将覆盖这些规则和批准列表。

要使用一系列已批准的补丁来安装特定软件包,需要先删除所有自动批准规则。如果您将补丁显式标识为 rejected,即使它匹配自动批准规则中的所有条件,也不会被批准或安装。此外,即使补丁被批准用于某个实例,只有它适用于此实例上的软件时,才会安装此补丁。

补丁程序管理器,一种Amazon Web Services Systems Manager为 Patch Manager 支持的每个操作系统提供预定义补丁基准。您可以按照当前配置的方式使用这些基准(无法自定义它们),也可以创建您自己的自定义补丁基准。自定义补丁基准允许您更好地控制为您的环境批准或拒绝哪些补丁。此外,预定义基准会为使用这些基准安装的所有补丁分配 Unspecified 合规性级别。对于要分配的合规性值,您可以创建预定义基准的副本,并指定要分配给补丁的合规性值。有关更多信息,请参阅 关于自定义基准使用自定义修补程序基准(控制台)

关于预定义基准

下表介绍了 Patch Manager 提供的预定义补丁基准。

有关 Patch Manager 支持各操作系统的哪些版本的信息,请参阅 Patch Manager 先决条件

名称 支持的操作系统 详细信息

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。补丁将在发布后七天自动批准。还将在发布 7 天后自动批准分类为“缺陷修正”的所有补丁。

AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。补丁将在发布后七天自动批准。在发布 7 天后还批准分类为“缺陷修正”的所有补丁。
AWS-CentOSDefaultPatchBaseline CentOS 在所有更新可用 7 天后批准这些更新(包括非安全性更新)。
AWS-DebianDefaultPatchBaseline Debian 服务器 立即批准优先级为“Required”、“Important”、“Standard”、“Optional”或“Extra”的与操作系统安全相关的所有补丁。由于存储库中未提供可靠的发行日期,因此批准之前无需等待。
AWS-MacOSDefaultPatchBaseline macOS 批准分类为 “Security” 的所有操作系统补丁。同时批准具有当前更新的所有软件包。
AWS-OracleLinuxDefaultPatchBaseline Oracle Linux 批准分类为“Security”且严重性等级为“重要”或“中等”的所有操作系统补丁。补丁将在发布后七天自动批准。在发布 7 天后还批准分类为“Bugfix”的所有补丁。

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。补丁将在发布后七天自动批准。在发布 7 天后还批准分类为“Bugfix”的所有补丁。

AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server (SLES) 批准分类为“Security”且严重性为“严重”或“重要”的所有操作系统补丁。补丁将在发布后七天自动批准。

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

立即批准优先级为“Required”、“Important”、“Standard”、“Optional”或“Extra”的与操作系统安全相关的所有补丁。由于存储库中未提供可靠的发行日期,因此批准之前无需等待。

AWS-DefaultPatchBaseline

Windows Server

批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有 Windows Server 操作系统补丁。补丁将在发布后七天自动批准。

AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有 Windows Server 操作系统补丁。补丁将在发布后七天自动批准。

AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server 对于 Windows Server 操作系统,批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有补丁。对于 Microsoft 发布的应用程序,批准所有补丁。在发布后 7 天自动批准操作系统和应用程序的补丁。

关于自定义基准

如果您创建自己的补丁基准,则可使用以下类别选择自动批准哪些补丁。

  • 操作系统:Windows、亚马逊 Linux、Ubuntu 服务器等。

  • 产品名称(适用于操作系统):例如,RHEL6.5、亚马逊 Linux 2014.09、Windows Server 2012、Windows Server 2012 R2 等。

  • 产品名称(适用于微软在Windows Server仅):例如,Word 2016、BizTalk Server 等。

  • 分类:例如,关键更新、安全更新等。

  • 严重性:例如,关键、重要等。

对于您创建的每个批准规则,您可以选择指定自动批准延迟或指定补丁批准截止日期。

注意

由于无法可靠地确定 Ubuntu Server 更新程序包的发布日期,因此该操作系统不支持自动审批选项。

自动批准延迟是发布补丁后到自动批准补丁用于修补前等待的天数。例如,如果您使用 CriticalUpdates 分类创建一条规则并将其自动批准延迟配置为 7 天,则将在 7 月 14 日自动批准 7 月 7 日发布的新关键补丁。

注意

如果 Linux 存储库不提供软件包的发布日期信息,Systems Manager 将使用软件包的构建时间作为 Amazon Linux、Amazon Linux 2 的自动批准延迟。RHEL和 CentOS。如果系统无法找到软件包的构建时间,Systems Manager 会将自动批准延迟视为零值。

当您指定自动批准截止日期时,Patch Manager 会自动应用在该日期或之前发布的所有补丁。例如,如果将 2020 年 7 月 7 日指定为截止日期,则不会自动安装在 2020 年 7 月 8 日或之后发布的任何补丁。

您还可以指定合规性严重性级别。如果经批准的补丁报告为缺失,则 Compliance Level 是违反合规性的严重性。

通过使用多个带不同的自动批准延迟或截止日期的补丁基准,您可按不同的速率将补丁部署到不同的实例。例如,您可以为开发环境和生产环境创建单独的补丁基准、自动批准延迟以及截止日期。这使您能够先在开发环境中测试补丁,然后再在生产环境中部署这些补丁。

创建补丁基准时,请牢记以下信息:

  • Patch Manager 为每个受支持的操作系统提供一个预定义的补丁基准。这些预定义的补丁基准将被用作每个操作系统类型的默认补丁基准,除非您创建自己的补丁基准,并将其指定为相应操作系统类型的默认补丁基准。

    注意

    适用于Windows Server,则提供了三个预定义的修补程序基准。补丁基准AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS支持 Windows 操作系统本身上的操作系统更新。AWS-DefaultPatchBaseline用作默认补丁基准Windows Server实例,除非您指定了其他补丁基准。这两个修补程序基准中的配置设置是相同的。两者中较新的,AWS-WindowsPredefinedPatchBaseline-OS的第三个预定义修补程序基准,以区分它与Windows Server。补丁基准AWS-WindowsPredefinedPatchBaseline-OS-Applications,可用于将修补程序应用到Windows Server操作系统和 Microsoft 发布的受支持的应用程序。

  • 对于本地服务器和虚拟机 (VM),Patch Manager 将尝试使用您的自定义默认补丁基准。如果不存在自定义默认补丁基准,系统将使用相应操作系统的预定义补丁基准。

  • 如果某个补丁在相同的补丁基准中同时被列为已批准和已拒绝,则该补丁将被拒绝。

  • 一个实例只能定义一个补丁基准。

  • 可以添加到补丁基准的已批准补丁和已拒绝补丁列表中的软件包名称格式取决于您正在修补的操作系统的类型。

    有关已批准的补丁和拒绝的补丁列表的已接受格式的信息,请参阅关于已批准补丁和已拒绝补丁列表的软件包名称格式

有关创建补丁基准的信息,请参阅使用自定义修补程序基准(控制台)演练:修补服务器环境(AmazonCLI)