AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

关于预定义和自定义补丁基准

补丁基准定义批准在您的实例上安装的补丁。您可以逐个指定批准或拒绝的补丁。也可以创建自动批准规则,指定应自动批准的某些更新类型 (例如重要更新)。拒绝补丁列表将覆盖这些规则和批准列表。

要使用一系列已批准的补丁来安装特定程序包,需要先删除所有自动批准规则。如果您将补丁显式标识为 rejected,即使它匹配自动批准规则中的所有条件,也不会被批准或安装。此外,即使补丁被批准用于某个实例,只有它适用于此实例上的软件时,才会安装此补丁。

Patch Manager 为 Patch Manager 支持的每个操作系统提供预定义补丁基准。您可以按照这些基准的当前配置使用这些基准 (您不能对其进行自定义),或者,如果您想更好地控制批准或拒绝将哪些补丁用于您的环境,则可创建自己的补丁基准。

关于预定义基准

下表介绍了 Patch Manager 提供的预定义补丁基准。

有关 Patch Manager 支持各操作系统的哪些版本的信息,请参阅 Patch Manager 先决条件

名称 支持的操作系统 详细信息

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。补丁将在发布后七天自动批准。还将在发布 7 天后自动批准分类为“缺陷修正”的所有补丁。

AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。补丁将在发布后七天自动批准。在发布 7 天后还批准分类为“缺陷修正”的所有补丁。
AWS-CentOSDefaultPatchBaseline CentOS 在所有更新可用 7 天后批准这些更新(包括非安全性更新)。

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。补丁将在发布后 7 天自动批准。在发布 7 天后还批准分类为“Bugfix”的所有补丁。

AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server (SLES) 批准分类为“Security”且严重性为“严重”或“重要”的所有操作系统补丁。补丁将在发布后 7 天自动批准。

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

立即批准优先级为“Required”、“Important”、“Standard”、“Optional”或“Extra”的与操作系统安全相关的所有补丁。 由于存储库中未提供可靠的发布日期,因此批准之前无需等待。

AWS-DefaultPatchBaseline

Windows Server

批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有 Windows Server 操作系统补丁。补丁将在发布后 7 天自动批准。

AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有 Windows Server 操作系统补丁。补丁将在发布后 7 天自动批准。

AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server 对于 Windows Server 操作系统,批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有补丁。对于 Microsoft 应用程序,批准所有补丁。在发布后 7 天自动批准操作系统和应用程序的补丁。

关于自定义基准

如果您创建自己的补丁基准,则可使用以下类别选择自动批准哪些补丁。

  • 操作系统:Windows、Amazon Linux、Ubuntu Server 等。

  • 产品名称(对于操作系统):例如,RHEL 6.5、Amazon Linux 2014.09、Windows Server 2012、Windows Server 2012 R2 等。

  • 产品名称(仅对于 Windows Server 上的 Microsoft 应用程序):例如,Word 2016、BizTalk Server 等。

  • 分类:例如,关键更新、安全更新等。

  • 严重性:例如,关键、重要等

对于您创建的每个自动批准规则,可指定自动批准延迟。此延迟是发布补丁后到自动批准补丁用于修补前等待的天数。例如,如果您使用关键更新分类创建一条规则并将其自动批准延迟配置为 7 天,则将在 1 月 14 日自动批准 1 月 7 日发布的新关键补丁。

注意

如果 Linux 存储库不提供程序包的发布日期信息,Systems Manager 会将自动批准延迟的值视为零。

您还可以指定合规性严重性级别。如果经批准的补丁报告为缺失,则 Compliance Level 是违反合规性的严重性。

通过使用多个带不同的自动批准延迟的补丁基准,您可以不同的速率将补丁部署到不同的实例。例如,您可以为开发环境和生产环境创建单独的补丁基准和自动批准延迟。这使您能够先在开发环境中测试补丁,然后再在生产环境中部署这些补丁。

创建补丁基准时,请牢记以下信息:

  • Patch Manager 为每个受支持的操作系统提供一个预定义的补丁基准。这些预定义的补丁基准将被用作每个操作系统类型的默认补丁基准,除非您创建自己的补丁基准,并将其指定为相应操作系统类型的默认补丁基准。

    注意

    对于 Windows Server,提供两个预定义的补丁基准。补丁基准 AWS-WindowsPredefinedPatchBaseline-OS 仅支持 Windows 操作系统自身的操作系统更新。它用作 Windows 实例的默认补丁基准,除非您指定了其他补丁基准。其他预定义的 Windows 补丁基准 AWS-WindowsPredefinedPatchBaseline-OS-Applications 可用于将补丁应用到 Windows Server 操作系统和支持的 Microsoft 应用程序。

  • 对于本地或非 Amazon EC2 实例,Patch Manager 将尝试使用您的自定义默认补丁基准。如果不存在自定义默认补丁基准,系统将使用相应操作系统的预定义补丁基准。

  • 如果某个补丁在相同的补丁基准中同时被列为已批准和已拒绝,则该补丁将被拒绝。

  • 一个实例只能定义一个补丁基准。

  • 可以添加到补丁基准的已批准补丁和已拒绝补丁列表中的程序包名称格式取决于您正在修补的操作系统的类型。

    有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式

有关创建补丁基准的信息,请参阅创建自定义补丁基准教程:修补服务器环境 (AWS CLI)