AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

关于补丁组

您可以使用补丁组将实例与特定补丁基准关联。补丁组根据关联的补丁基准规则,帮助确保您将合适的补丁部署到正确的实例集。另外还可以帮助您避免过早地部署补丁(在对补丁进行充分测试之前)。例如,您可以为不同的环境(例如,开发环境、测试环境和生产环境)创建补丁组,并将每个补丁组注册到合适的补丁基准。

注意

一个补丁组只能注册一个补丁基准。

当您运行 AWS-RunPatchBaseline 时,您可以使用实例 ID 或标签将托管实例指定为目标。SSM 代理 和 Patch Manager 然后基于您添加到实例的补丁组值评估要使用哪个补丁基准。

您可以使用 Amazon EC2 标签创建补丁组。与其他跨 Systems Manager 的标记方案不同,必须 使用此标签键定义补丁组:Patch Group。请注意,此键区分大小写。您可以指定任何值,例如“Web 服务器”,但键必须为补丁组

注意

一个实例只能在一个补丁组中。

创建补丁组和标记实例后,可以将补丁组注册到补丁基准。将补丁组注册到补丁基准可确保补丁组内的实例使用在关联的补丁基准中定义的规则。有关如何创建补丁组并将补丁组与补丁基准关联的更多信息,请参阅 创建补丁组将补丁组添加到补丁基准

要查看使用 AWS CLI 创建补丁基准和补丁组的示例,请参阅教程:修补服务器环境 (AWS CLI)。有关 Amazon EC2 标签的更多信息,请参阅 Amazon EC2 用户指南 中的标记 Amazon EC2 资源

工作原理

当系统运行将补丁基准应用于实例的任务时,SSM 代理将验证是否为该实例定义了补丁组值。如果该实例已分配给一个补丁组,Patch Manager 将验证哪个补丁基准注册到了该组。如果找到了该组的补丁基准,Patch Manager 将通知 SSM 代理 使用关联的补丁基准。如果没有为补丁组配置实例,Patch Manager 将自动通知 SSM 代理 使用当前配置的默认补丁基准。

下图显示了 Systems Manager 在将 Run Command 任务发送到您的服务器队列以使用 Patch Manager 进行修补时所执行流程的一般示例。当配置维护时段来发送命令以使用 Patch Manager 进行修补时,使用类似的流程。

在本示例中,我们有三组 Windows EC2 实例,其应用了以下标签:

EC2 实例组 标签

组 1

key=OS,value=Windows

key=Patch Group,value=DEV

组 2

key=OS,value=Windows

组 3

key=OS,value=Windows

key=Patch Group,value=QA

在本示例中,我们还有这两个 Windows 补丁基准:

补丁基准 ID 默认值 关联的补丁组

pb-0123456789abcdef0

Default

pb-9876543210abcdef0

DEV

图 1:修补操作流程的一般示例


                        示意图显示执行修补操作时如何确定补丁基准。

使用 Run Command 和 Patch Manager 扫描或安装补丁的一般流程如下所示:

  1. 发送修补命令:使用 Systems Manager 控制台、开发工具包、AWS CLI 或 AWS Tools for Windows PowerShell 使用文档 AWS-RunPatchBaseline 发送“运行命令”任务。该图显示了将标签 key=OS,value=Windows 指定为目标以执行的托管实例“运行命令”修补任务。

  2. 补丁基准确定:SSM 代理 验证应用到 EC2 实例的补丁组标签,并查询 Patch Manager 查找相应的补丁基准。

    • 与补丁基准关联的匹配的补丁组值:

      1. 在组 1 中的 EC2 实例上安装的 SSM 代理 收到步骤 1 中发出的命令后开始修补操作。SSM 代理 验证 EC2 实例是否应用了补丁组标签值 DEV 并查询 Patch Manager 查找关联的补丁基准。

      2. Patch Manager 验证补丁基准 pb-9876543210abcdef0 是否关联了补丁组 DEV 并通知 SSM 代理。

      3. SSM 代理 根据在 pb-9876543210abcdef0 中配置的批准规则和例外从 Patch Manager 检索补丁基准快照,然后继续执行下一步。

    • 未将补丁组标签添加到实例:

      1. 在组 2 中的 EC2 实例上安装的 SSM 代理 收到步骤 1 中发出的命令后开始修补操作。SSM 代理 验证 EC2 实例是否未应用 Patch Group 标签,SSM 代理 并因此查询 Patch Manager 查找默认的 Windows 补丁基准。

      2. Patch Manager 验证默认的 Windows 补丁基准是否是 pb-0123456789abcdef0 并通知 SSM 代理。

      3. SSM 代理 根据在默认的补丁基准 pb-0123456789abcdef0 中配置的批准规则和例外从 Patch Manager 检索补丁基准快照,然后继续执行下一步。

    • 没有与补丁基准关联的匹配的补丁组值:

      1. 在组 3 中的 EC2 实例上安装的 SSM 代理 收到步骤 1 中发出的命令后开始修补操作。SSM 代理 验证 EC2 实例是否应用了补丁组标签值 QA 并查询 Patch Manager 查找关联的补丁基准。

      2. Patch Manager 不会查找关联了补丁组 QA 的补丁基准。

      3. Patch Manager 通知 SSM 代理 使用默认的 Windows 补丁基准 pb-0123456789abcdef0

      4. SSM 代理 根据在默认的补丁基准 pb-0123456789abcdef0 中配置的批准规则和例外从 Patch Manager 检索补丁基准快照,然后继续执行下一步。

  3. 补丁扫描或安装:确定要使用的合适的补丁基准后,SSM 代理 将根据步骤 1 中指定的操作值开始扫描或安装补丁。扫描或安装的补丁由在 Patch Manager 提供的补丁基准快照中定义的批准规则和补丁例外确定。

关于补丁合规性状态

本页内容: